MS $ 
1€ 73 IR Mi, EI SJ 4 #M $r 
通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (hf1W;/Aeq9rning.huawei.com/cn) 享有 如 下 特权 : 
e 1、 华为 E-learning 课程 学 习 
a A8: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
0 方式: ŽUPA, ARBA “ERKE” MERKS “emai” 和 到 Learning €hvawer com A 
JFK RS 
. 2、 华为 培训 教材 下 载 
o AR: 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 小 盖 企 业 网 络 、 存 储 、 安 全 等 诸多 领域 
0 方式: EGRÍÉZUHEZETSDIBIA, MEA “ERRIMAREN ， 在 具体 课程 页 面 即 可 下 载 教 材 。 
° 3、 华为 在 线 公 开课 (LVC) 优 先 参与 
o AR: 企业 网 络 、UC&C、 安 人 全、 存储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 开 班 人 数 有 限 
a 方式: 开 班 计 划 及 参与 方式 请 详 见 AKC 汞 和 区 
° 4、 学习 工 具 eNSP 
o  eNSP (Enterprise Network Simulation Platform), 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真实 设备 实景 ; 同时 也 文 持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
。 另外, 华为 建立 了 知识 分 孚 平台 华为 从 证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 对 考试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.com/ecommunity/bbs/list 2247.html ) 




















HUAWEI TECHNOLOGIES CO., LTD. Huawei Confidential Il 





$52, HUAWEI 


HUAWEI 构建 安全 网 络 架构 工程 师 培 训 上 机 指导 书 





HUA WEI 构 建安 全 网 络 淋 构 
工程 师 培 训 上 机 指导 书 
(学 员 用 书 ) 


ISSUE 1.00 


NG 


HUAWEI 





HUAWEI 构建 安全 网 络 架 构 工程 师 培训 上 机 指导 书 








Contents 
(学 员 用 书 ) MN NERRRERTPRE——————-—-—-—-———-————— 1 
JS Li TOUR 1 
cu —eeE————————— 7 
UB METUIT 7 
1.2 适用 防火 墙 产 品 描 述 .es 7 
1.2.1 ”USG2000 PAm HER ..................... rnnt neret tenentes 7 
122 USG5100 产品 描述 tette tetto 10 
1.23 ”USG5500 产品 描述 tenete nete 12 
1.2.40. ”USG9500 产品 描述 .00050000 15 
OO 19 
2 防火 墙 高 级 设备 管理 SR 
2.1 文件 管理 实验 20 
实验 目的. 20 
网 20 
实验 拓扑 图 .NA — Q 20 
S C E V o SO 20 
验证 结果 .es 21 
2:2 AAA 方式 设备 管理 21 
Sn ————— 21 
ED TRU op S Wp s S sp ssei 21 
实验 拓扑 图 22 
DES (Tis IRR S NCC 22 
实验 步 又 (Web)........ OQ ERRRRRRRRRRRRRRRRRRMMMMMMMMMMMMKEKFEPEI 23 
OE 28 
2.3 BootRoom 密友 恢复 ............. l... n nn AREALA AEEA Eara aaaea aas 28 
实验 目的 .A NZ. 28 
AM E E O E E 28 
Sae aE IN E O 29 
实验 落 又 (命令 行 .0 29 
实验 步 又 (Web] annassa, 29 
I l| —X———————————— — 29 
ENDIE TEE E Et Ea E 30 
3.1 基于 IP 地 址 连接 数 限 制 和 带宽 限制 30 
实验 目的 .es 30 
| —————————Ó 30 
实验 拓扑 图 30 
实验 步 缀 AO D D 30 
实验 步骤 (Web) .......22 2 n n nsn n nn naa. 35 
l I| O--————————————— 45 
3.2 ESA Ki TE 46 
实验 E| 的. 46 


组 网 设备 46 


HUAWEI T4 ££ zz 4 v] 2 28 84] Te Ups VII ED LR Sep 





S RR ERR RR NER 46 
SU [| j; uuu nte MA le ap elle Aa Ecos ACE 46 

SEU ED otium oe Caps masan ama cud Eam asa aq ero baha B 47 
DEL uet E E 50 

4 防火 墙 可 靠 性 技术 .es 51 
4.1 TD 51 
L ril mu RR ERR RR 错误 ! 未 定义 书签 。 
| 错误 ! 未 定义 书签 。 
SEU HE INPS e ted reu act IA SOLA CUL M S LAE 错误 ! 未 定义 书签 。 
Sy Jena aaa 错误 ! 未 定义 书签 。 
实验 步骤 (Web) RR 错误 ! 未 定义 书签 。 
lud ————————— 错误 ! 未 定义 书签 4 
4.2 Eth-Trunk 实验 a aannsnsassasssassaass 错误 ! 未 定义 书签 
生生 E 错误 ! 未 定 兴 书签 。 
ZR RTO ERR 错误 ! 未 定义 书签 。 

SE STER: PNE RN EA E NA 错误 \ 未 定义 书签 。 
实验 步骤 (命令 行 ) a D 错误 ! 未 定义 书签 。 
由 错误 ! 未 定义 书签 。 
4.3 IP-Link 2FNW_.J............................ ———————— 57 
`! I RR ed 57 
2| ruunt m a Os LE d LAU Leu 57 
有 用 网 57 
SA (WS [T o uesedettuteetét tereti No pa et cé Erud uertit de eae ua deci e o Ru s 57 
RN 58 
| ` CHEER Gi Ro 62 
4.4 防火 墙 双 机 热 备 实 验 (XEM ) nn sassa, 63 
I |] usu a ukumi ee hak 63 
网 63 
SE ecl E LR IM DLE LI MIU MEE E AE 63 
SEA UNE D estie A MUI dU pM DM EE EM M E 63 
i e A e EE E AEE T 66 
C NR ERR I 69 
4.5 Link-group ES oT TT T 71 
SE SNP m 71 
网 71 
ss ———-——————-—OOO———— ooe— 72 
实验 步骤 (命令 行 .0 72 
| 72 
生生 生生 全 和 和 和 73 
的 天 74 
S.1 ERDI E E 74 
SE 74 
网 74 


cU ITI —————————————————— 74 


HUAWEI T4 ££ zz 4 v] 2 28 84] Te Ups VII ED LR Sep 


6 防火 场 


0.1 


0.2 


0.3 


0.4 


6.5 


6.6 


6.7 





SE | (GL TR ER T TT 75 
WA 79 
Uc ———À—Á ———————— "€ 91 
iud PN coperte e lI REO ID Rees E ED 92 

点 到 多 点 IPSec VPN 实验 92 
SE 92 
网 92 
su [| E "————————— saa 92 
有 93 
AN 95 
Ud TT 105 

NAT 穿越 实验 ....... a naa aaaaaaN, 106 
S Eu uM RD M EL LM EMIL IL amas DIM ED NN 106 
网 106 
全 106 
SES SIUE TERES ABS T E PO TD 107 
实验 步骤 (Web] .Nn 110 
Ludo E aha MÀN T n 118 

隧道 化 链 路 备份 IPSec VPN 实验 Lue erre 119 
SEL E i IEEE. A o 119 
ED eut LI N S CL LM E 119 
I ñ E METRI a a A O a 120 
天 难于 本 (有关 和 全 T, Ne ett ret tutem N ertt 120 
OO D NU 123 

主 备 链 路 备份 IPSec VPN 实验 123 
上 123 
ED ee A OA 123 
实验 拓扑 图 ,A NZ 123 
S a E a 124 
| u EE E A EE A E E AA A E AEE E 2 127 

设备 元 余 IPSec VPN 实验 127 
sap cq M ——"———— ——X— —— qaa naa ua sO 127 
d c TIPS 127 
SE 128 
SEU Jl (I ECORI OT AME ET 128 
25cm 130 

L2TP Over IPSec 实验 130 
人 130 
ZR Z usu ua RR REOR REM RR ENERO 130 
人 同人 130 
有 131 
Sen ` (Web uyu aaa OR ERE 135 
D DUDEN 139 

双 机 热 备 SSL VPN 实验 140 


HUAWEI T4 ££ zz 4 v] 2 28 84] Te Ups VII ED LR Sep 








su dc ——————————————————— PH: 140 
CE a T O 140 
L E TTE 141 

1 QNS Y NN TR 141 
DO A EE E EEA E E ESE EA 144 
PORE DIS UE ES RR TROP EA, 145 
7.1 搭建 攻击 测试 环境 145 
SE ueesnensan cs ead IELIM I IM ID EIE MEE LE AM ME 145 
o ———— ÉOÉ-——————————— 145 
SE 145 
2 c "ECKE 145 
7.2 DHCP Snooping 技术 149 
cu zs -—— CERE S 149 
JR  ———————— PER a ` Sheets 149 
suc | < -———————— E e — 150 
四 150 
ZU SES ONE DNI UU ovs BEER 152 
7.3 基于 IP 地 址 的 SYN Flood 攻击 防范 功能 .Re 153 
SHIT" Km 153 
AE e -EEEN AE AA. O, o AA A 153 
实验 拓扑 图 154 
"nl ————————P—— og, —— —— ———— 154 
人 157 
7.4 TCP 反 向 源 探测 方式 的 SYN Flood 攻击 防范 aaa... 158 
上 158 
CE 2 T 158 
SEENE A E 158 
Bar L M e NON A A AEE A A E 158 
|| E E O E E E E E S RS 161 
7.5 基于 接口 的 ARP Flood 攻击 防范 162 
Pu SN 5 EEO OO IRE RENE RETE 162 
全 和 162 
有 162 
Luce: M" —————————— ——Á— 162 

D EIC cane AL LM ELLE SE 165 
7.6 配置 地 址 扫描 攻击 防范 功能 165 
| 165 
dr ——————————ÉÓÉÓ 165 
SETS CIN Ed MN TERRE RETRO RPM RES 165 
[mco ——— ——————————— sayanan q: 165 
Pd WEISEN M IRE MM RIAM LEUR IRE RE IM 168 

8 p cess SMEs eH —————— 169 
8.1 防火 墙 基础 特性 故障 排除 169 


EE 169 


HUAWEI T4 ££ zz 4 v] 2 28 84] Te Ups VII ED LR Sep 





du ———À———————————À 169 
| | ———— ————— 169 
nuls POCO OPE 170 
pi EDT RU MR 179 
8.2 VPN 特性 故障 排除 ........................... aaa aaaaaass 173 
sc -——————————— PEN 173 
网 173 
人 173 
PE A A 174 


rcc M" A A A A A n 175 


HUAWEI 构建 安全 网 络 架 构 工程 师 培训 上 机 指导 书 





l sm 








本 手册 用 于 指导 学 员 学 习 华为 安全 产品 的 配置 和 部 闭 技 术 ,， 学员 可 以 通过 教材 的 实验 说 
明 ， 午 握 本 手册 中 的 实验 内 容 。 


1.1 适用 范围 

适用 于 华为 系统 安全 高 级 工程 师 培训 安全 课程 中 涉及 的 实验 内 容 。 
适用 安全 产品 系列 包括 : 

USG2100 

USG2200 

USGS100 

USG5500 

USG9500 


2 适用 防火 墙 产品 描述 
1.2.1 USG2000 产品 描述 


1.2.1.1 USG2100 产品 外 观 
USG2100\ 由 一 体 化 机 箱 、 扩 展 接 口 卡 组 成 。 其 一 体 化 机 箱 尺 寸 为 
420mmx255mmx43.6mm 〔 先 x 深 x 高 )， 可 以 安装 在 19 喘 寸 标准 机 柜 中 。 


1.2.1.2 USG2100 部 件 分 布 
前 面板 
如 下 图 所 示 ，USG2100 前 面板 上 有 3G 数据 卡 接 口 〈 仅 USG2130 支持 )、USB 接口 、Flash 


卡 接口 、 指 示 灯 和 系统 复位 键 。 
USG2120 的 前 面板 上 无 3G 数据 卡 接 口 ， 其 他 部 分 和 USG2130 的 前 面板 完全 一 样 。 
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Figure 1-1 USG2100 前 面板 图 


L. 3G 数据 卡 接口 
5. 系统 复位 键 NENNEN 





后 面板 


如 下 图 所 示 ，USG2100 后 面板 包括 交流 电源 模块 、MIC(Mini Interface Card) jit Console 
接口 和 以 太 网 口 等 。 其 中 WAN 口 为 路 由 口 ， 可 直接 配置 IP 地 址 ， 并 直接 划 到 具体 的 区 域 
里 。LAN 口 为 交换 口 ， 不 能 在 接口 上 配置 IPP 地址 ， 需 要 先 创建 VLAN， 然 后 在 VLAR Ein 
置 VLAN interface， 再 把 该 VLAN 划 到 具体 的 区 域 里 。 





Figure 1-2 USG2100 后 面板 Ç 


1. 接地 端子 2. 安全 锁 筷 3. ( 防 静 电 手 腕 插 孔 
S LAN 接口 
8. 交流 电源 开关 9. 交流 电源 接口 








1.2.1.3 USG2200 7^ di 7 XI 


USG2200 由 所 和 体 化 机 箱 、 扩 展 接口 卡 组 成 。 其 一 体 化 机 箱 尺 十 为 
442mmx4l4mmx43.6mm (XRX), P UZE 19 英寸 标准 机 柜 中 。 


1.2.4:4 USG2200 部 件 分 布 
前 面板 
USG2200 的 电源 和 风扇 采用 内 置式 ， 因 此 从 外 观 上 看 不 到 电源 和 风 忆 。USG2200 包括 
USG2210. USG2220. USG2230. USG2250 四 种 型 号 。 这 四 种 型 号 都 支持 交流 机 型 ， 前 面 
板 如 下 图 所 示 。 前 面板 左 侧 分 别 为 防 静 电 插 了 筷 ， 电 源 开关 和 交流 电源 插 孔 ; 右 侧 包括 的 固定 
接口 包括 : 1 个 Console 接口 、2 个 GE Combo 接口 、2 个 USB2.0 接口 、1 个 闪存 接口 。 
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Figure 1-3 USG2200 产品 交流 机 型 前 面板 


1. USB2.0 接口 2. GE Combo 接口 3. 办 存 接口 
4. Console 接口 5. 一 键 恢复 6. 交流 电源 插 孔 








7. 交流 电源 开关 8. Da Ha uji dL 


其 中 USG2250 ELF EMALE, Heg icu F Ed Bre 








Figure 1-4 USG2250 产品 直流 机 型 前 面板 


3. 闪存 接口 
5. ERA 6. 直流 电源 撒 筷 
7 直流 电源 开关 — | 8. DEPRENI A | 











后 面板 

USG2210. USG2220. USG2230. USG2250 后 面板 布局 相同 ， 如 下 图 所 示 ， 左 侧 和 中 间 是 
4 个 MIC 48, AWA 2 个 ECS 插 槽 。 如 果 选 用 的 插 卡 为 交换 插 卡 ， 该 交换 插 卡 上 的 接 
口 配 置 方式 与 USG2100 上 的 LAN 口 配 置 方法 一 致 。 如 果 选 用 插 卡 的 接口 为 路 由 口 ， 则 配 
Jj; 345 USG3000/USG5000 zk USG2100 上 的 WAN 口 配置 方式 一 致 。 


Figure 1-5 USG 产品 后 面板 


和 


rmm al 
- 
i e 3- 
[SI 


1. MICI jüfé 2. MIC2 RE 3. MIC3 iif 
4. MICA Bj 5. FICS fë 6. FIC6 1&5 
7. 槽 位 标识 [| 





1.2.1.5 插 槽 的 排列 顺序 及 接口 编号 方法 
下 面 介绍 USG2200 插 槽 的 排列 顺序 及 接口 编号 方法 。 
插 槽 排列 顺序 
USG2200 主板 编号 为 0， 其 6 个 扩展 插 模 的 槽 位 编号 〈1 一 60 采用 先 从 左 到 右 ， 再 从 下 到 
上 ， 先 MIC 槽 位 后 FIC 覃 位 的 编号 原则 。 
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接口 编写 方法 
设备 接口 采用 的 编写 原则 如 下 : 


1. 接口 编写 为 interface-type X/0/Y, interface-type 为 接口 类 型 (如 
Ethernet 等 )，X 表示 横 位 号 ，0 为 板 卡 号 ， 目 前 文 持 的 接口 卡 疫 有 
子 卡 ， 所 以 此 位 均 为 0。Y 表示 接口 序号 。 


2. 例如 ,USG2200 的 slotl 和 slot5 分 别 安装 了 5FE-SW 电 接 口 卡 和 2CEI1 
接口 卡 ， 那 么 接口 的 排列 顺序 如 下 : 


5FE-SW 电 接 口 卡 从 左 到 右 的 Ethernet 接口 编号 : Ethernet1/0/0、 
Ethernet 1/0/1. Ethernet 1/0/2、Ethernet 1/0/3、Ethernet 1/0/4。2CE1 接 
口 卡 从 左 到 右 接口 编号 为 : controller el 5/0/0、el 5/0/1。 主 板 GE 
Combo 接口 从 左 到 右 接口 编号 为 : GigabitEthernet 0/0/0、 
GigabitEthernet0/0/1 。 





1.2.2 USG5100 产品 描述 


1.2.2.1 USG5120 产品 外 观 X 


USG5150 H — K ie BL ñ . Pp HE BE D F 2H AX. O — M M #L # RC +J y 
442mmx414mmx130.5mm〔 宽 x 深 x 高 )， 可 以 安装 在 19% 英 寸 标 准 机 柜 中 。 


1.2.2.2 USG5120 部 件 分 布 


前 面板 
USG5120 有 交流 和 直流 两 种 机 型 。 


Figure 1-6 USG5120 产 品 前 面板 


Sacnspacs LESGSODO 


Sacospace LFS(G5000 


2 复位 键 4 内 存 接口 


5.USB2.0 接口 6. 10/100/1000M 以 太 | 7.10/100/1000M 以 太 | 8.GE Combo 接 
| 
11. 交 流 /直流 电源 插 12. 交 流 / 直 流 电 

座 源 开 关 
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1L 


后 面板 





Figure 1-7 USG5120BSR 产品 后 面板 
9 T 8 1 3 2 4 


1. MICI fff 2. MIC2 ji fé 3. MIC3 插 槽 
4. MICA Jt 5. FICS5/DFICS 1f 6. FIC6/DFIC6 插 档 
7. FIC7/DFIC7 YR 8. FICS Jf f 9. vr bk y 


10. 接地 端子 





1.2.2.3 USG5150 产品 外 观 


USG5150 H — K ie BL ñ. Pp JE BE LL-F 2H k. KE — /K dh #L # JV +J J 
442mmx414mmx130.5mm ( 宽 x 深 x 高 )， 可 以 安装 在 19 英寸 标准 机 柜 中 。 


1.2.2.4 USG5150 部 件 分 布 
前 面板 
USGS5150 的 电源 和 风扇 模拟 均 可 热 搬 拔 。 


Figure 1-8 USG5150 产品 前 面板 


-mememe 
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15 14 13 12 





1 234 5 6 D 8 9 10 11 


3. 系统 复位 键 

4.Console 接 口 — | 5 WERO | 6USB20 接 DD 和 
”7.GECombo 接 口 0 — | 8.GECombo 接 D1 — — | 9.GECombo 接 D2 — 
”10.GECombo 接 口 3 — | 11. i — | 12.ESD 防 静 电 插 孔 CA 


13. DÆI 14. 交流 /直流 电源 模块 1 
后 面板 X 





Figure 1-9 USG5150 产品 后 面板 
9 10 1 3 2 4 





11 5 7 6 8 
| I MICR ^. 、 — | 2MIC2 捅 梢 — — | 3.MICSüHH — — 
| 4MICAHifH - ^ | S5FICNDFICSiüfM — — | 6.FICUDFICG EHE — — 
| T.FICTDFICTÓiHÉ — — | 8.FICEDFICS fü — — | 9.FICOdEHH — — 






[:2[.3 USGS5500 产品 描述 


1.2.3.1 USG5530S 产品 外 观 


USG5530S 由 一 体 化 机 箱 、 扩 展 接口 卡 组 成 。 设 备 的 一 体 化 机 箱 尺 寸 为 
442mmx560mmx43.6mm (XIRS), P UZE 19 英寸 标准 机 柜 中 。 


1.2.3.2 USG5530S 部 件 分 布 
接口 卡 侧面 板 
如 下 图 所 示 ，USG5530S 支持 2 个 FIC 接口 卡 扩展 插 横 。 
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Figure 1-10 USG5530S 产品 接口 卡 侧面 板 图 
1 23 4 5 









L. 防 静 电 手腕 带 插 孔 |2 系统 复位 刍 3. 指示 灯 区 域 


7. 光电 互 斥 接口 8. 10/100/1000M 自 适 应 | 9. 管理 口 
以 太 网 电 接 口 
10. Console 接口 11. USB 2.0 接口 


电源 侧面 板 










如 下 图 所 示 ，USG5530S 只 有 交流 机 型 ， 没 有 直流 机 型 。 


Figure 1-11 USG5530S 产品 交流 机 型 电源 侧面 板 图 X 


1. 接地 端子 2. 电源 指示 灯 3 总 电源 开关 
4 交流 电源 线 扎 线 孔 





1.2.3.3 USG5530/5550/5560 产品 外 观 


USG5530/5550/5560 由 一 体 化 机 箱 、 扩 展 接口 卡 组 成 。USG5530/5550/5560 的 一 体 化 机 箱 尺 
寸 为 442mmx414.1mmx130.5mm ( 宽 x 深 x 高 )， 可 以 安装 在 19 英寸 标准 机 柜 中 。 


1.2.3.4USG5530/5550/5560 部 件 分 布 
接口 林 侧 面板 
如 下 图 所 示 ，USG5530/5550/5560 支持 6 个 FIC 接口 卡 扩展 插 槽 和 2 个 MIC 接口 卡 扩 展 插 
Eh 其 中 ，6 个 FIC 接口 卡 扩 展 搬 槽 可 合并 为 4 个 DFIC 接口 卡 扩 展 插 槽 ，2 个 MIC 接口 卡 
扩展 揪 模 可 合并 为 1 个 DMIC 接口 卡 扩 展 揪 槽 。USG5530/$5$0/$560 暂 不 支持 MIC 和 DEFIC 
I H. 
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Figure 1-12 USG5530/5550/5560 产品 接口 卡 侧 面板 图 
1 234567 8 9 10 11 12 
| | | 


E — AM E 





o NECS C 


7. 管 理 口 | — — 8. 10/100/1000M |. .8.10/100/1000M 自 适 应 以 太 网 电 接口 | 


10. 100/1000M 以 太 网 光 11. MIC2/DMIC2 1i fé 
接口 


13. FIC9 1i f 14. FIC7/DFIC7 1&f& 
16. FIC5/DFICS 1&8 17. FIC8 fif FIC 
19. 假 面板 20. FIC4/DFIC4 插 权 | 2N BHO 


电源 侧面 板 





1234 5 6 7 8 


2. 电源 开关 3. 交流 电源 线 扎 线 孔 
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5. 电源 风扇 网 6. 电源 指示 灯 








1.2.4 USG9500 产品 描述 


1.2.4.1 USG9500 产品 外 观 


USG9000 系列 产品 都 采用 一 体 化 机 箱 , 可 安装 在 N68E-22 机 柜 或 深度 不 小 于 800mm 的 IEC 
(International Electrotechnical Commission) 19 英寸 标准 机 柜 中 。USG9000 产品 外 观 如 下 图 


所 示 。 


1.2.4.2 USG9520 部 件 分 布 
USG9520 有 直流 和 交流 两 种 相 箱 。 
USG9520 直流 机 箱 


Figure 1-15 USG9520 直流 机 箱 组 成 部 件 图 X 





HUAWEI 构建 安全 网 络 架 构 工 程 师 培训 上 机 指导 书 


2. ESD D rtu 
6. 进 风口 





10. WEW 11. 把 手 





_6 进 RD 000000 
8. f BEAR 9， 保 护 接地 端子 
at | | 


USG9520 交流 机 箱 


Figure 1-16 USG9520 交流 机 箱 组 成 部 件 图 


3. 交流 电源 模块 
10. 保护 接地 端子 
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1.2.4.3 USG9560 部 件 分 布 


Figure 1-17 USG9560 部 件 图 


! 
1 
! 
| 
J 
! 
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1 
| 
l 
! 
l 
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| 
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i! 
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Y, 





6 
2. 挂 耳 3. 单 板 梢 位 区 
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8 电源 滤 波 模 世 9 保护 接地 端子 





10. 交流 电源 管理 接口 11. PEM 模块 12. 集中 监控 模块 


1.2.4.4 USG9580 部 件 分 布 
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ELE 
8. EIRENE 
10. 交流 电源 管理 接口 11. 集中 监控 模块 





1.3 Él 
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2 防火 增高 级 设备 管理 


2.1 文件 管理 实验 
实验 目的 
学 会 得 看 设备 中 的 文件 ， 并 配置 USG X FTP server 
组 网 设备 


PC 机 一 台 ，USG 防火 墙 一 台 。 
实验 拓扑 图 


G0/0/0 


冒 理 PC 192.168.0.1/24 
192.168.0.2/24 T UsG 


三 以 太 网 口 


ER 


COM 1 


Console 
Interface 





Setp 1 _ 配置 网 络 连接 、 卫 地址 、 接 口 安 全 区 域 及 包 过 滤 。( 有 具体 过 程 省 略 ) 
Setp2、 开启 设备 的 FTP 功能 并 配置 FTP 用 户 名 、 密 码 及 FTP 路 径 。 
«USG? system-view 
[USG] ftp server enable 
Info:Start FTP server 
[USG] aaa 





[USG -aaa] local-user ftpuser password cipher Ftppass# 
[USG -aaa] local-user ftpuser service-type ftp 
[USG -aaa] local-user ftpuser level 3 
[USG -aaa] local-user ftpuser ftp-directory hdal:/ 
Setp 3 ”从 配置 终端 使 用 ftp 命令 登录 到 设备 上 。 
备份 文件 管理 : 
使 用 get 命令 从 设备 下 载 文件 到 PC。 


HUAWEI T4 ££ zz 4 v] 2 28 84] T rp s VII ED LR S T 





这 里 以 安装 Windows 操作 系统 的 PC 为 例 :开始 > 运行 ”, 输 入 emd 后 单 击 “ 确 
C:\Documents and Settings\Administrator> ftp 192.168.0.1 
Connected to 192.168.0.1. 
220 FTP service ready. 
User (192.168.0.1:(none)): ftpuser 
33] Password required for ftpuser. 
Password: 
230 User logged in. 
ftp» get vrpcfe.cfg 
200 Port command okay. 
150 Opening ASCII mode data connection for vrpcfg.cfe. . 
226 Transfer complete. 
ftp: 收 到 5203 字 节 ， 用 时 O.01Seconds 346.87Kbytes/sec. 
ftp> lcd K 
Local directory now C:\Documents and Settings\Administrator. 


ftp> 


恢复 文件 : 

恢复 的 步骤 和 备份 的 步骤 类 似 ， 但 是 有 了 两 点 不 同 氮 。 
/恢复 使 用 put 命令 将 文件 上 传 到 设备 上 。 

ftp> put vrpcfg.cfg 





200 Port command okay. 
150 Opening ASCII mode data connection for vrpcfg.cfeg. 
226 Transfer complete. 
ftp: 发 送 5203 cg B, HEF 0.00Seconds 5203000.00Kbytes/sec. 
/ Æ USG 设备 中 配置 命令 行 ， 配置 设备 下 次 启动 使 用 的 配置 文件 。 


«USG* startup saved-configuration vrpcfe.cfe 
验证 结果 
售 看 上 传 及 下 载 文件 时 是 否 成 功 。 


2.2 AAA 方 式 设备 管理 


实验 日 的 
采用 Radius 服务 器 验证 方式 对 用 户 进 行 认证 ， 用 户 认 证 通过 后 ， 可 接 入 互联 网 。 
组 网 设备 


PC 机 一 台 ，USG 系列 防火 墙 一 台 ， 装 有 Radius 服务 的 PC 机 一 台 。 
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实验 拓扑 图 
Radius Server 
192.168.0.2 
GEO0/0/2 
PC | 192.168.0.1 


192.168.1.2 


HE | šian 





验 步 又 (命令 行 ) 
Setp1 配置 各 接口 IP 地址， 并 将 各 接口 加 入 相应 安全 区 域 。 
[USG2200]int GigabitEthernet 0/0/0 
[USG2200-GigabitEthernet0/0/0]ip address 192.168. 1.1 24 
[USG2200-GigabitEthernet0/0/0]quit 
[USG2200]firewall zone trust 
[USG2200-zone-dmz Jadd interface GigabitEthernet 0/0/0 
[USG2200-zone-dmz |quit 
[USG2200]int GigabitEthernet 0/0/1 
[USG2200-GigabitEthernetO/0/1]ip address 192.168.100.200 24 
[USG2200-GigabitEthernet0/0/1 ]quit 
[USG2200]firewall zone untrust 
[USG2200-zone-untrust]add interface GigabitEthernet 0/0/1 
[USG2200-zone-untrust quit 
[USG2200]int GigabitEthernet 0/0/2 
[USG2200-GigabitEthernet0/0/2]ip address 192.168. 0.1 24 
[USG2200-GigabitEthernet0/0/2]quit 
[USG2200]firewall zone dmz 
[USG2200-zone-dmz Jadd interface GigabitEthernet 0/0/2 
[USG2200-zone-dmz |quit 
Setp2 配置 域 间 转发 策略 ， 保 证 网 络 连通 性 。 
[USG2200]firewall packet-filter default permit interzone trust untrust 
[USG2200]firewall packet-filter default permit interzone trust dmz 
[USG2200]firewall packet-filter default permit interzone dmz untrust 
Setp3 ”配置 路 由 ， 使 防火 增 可 以 与 互联 网 进行 通信 。 
[USG2200]ip route-static 0.0.0.0 0.0.0.0 192.168.100.254 
Setp4 MA NAT 策略 。 
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[USG2200]nat-policy interzone untrust trust outbound 
[USG2200-nat-policy-interzone-trust-untrust-outbound |policy 0 
[USG2200-nat-policy-interzone-trust-untrust-outbound-0]action source-nat 
[USG2200-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 
0.0.0.255 
[USG2200-nat-policy-interzone-trust-untrust-outbound-0]easy-ip GigabitEthernet 
0/0/1 
Setp5 配置 DNS 服务器， 保证 内 网 用 户 可 以 链接 上 互联 网 。 
[USG2200]dns server 210.21.196.6 
Setp6 WMA Radius 服务 器 
[USG2200]radius-server template 1 
Info: Succeeded in Creating a new server template. Y 
[USG2200-radius-1 ]radius-server authentication 192.168.0.2 1812 
[USG2200-radius-1 |radius-server accounting 192.168.0.2 1813 
[USG2200-radius-1 |radius-server shared-key 12345 ( 
# 测试 USG 5 RADIUS JR 5 25 HJ ÉE JBE, E Ab P] JU RJ 44 UR n 2 LJ 
RADIUS JR2$%š E CAF ERK S JHI Pi RU RO DS AC 
[USG2200-radius-1 ]radius-server test user test test 
Setp7 ”配置 用 户 信 息 。( 此 处 创建 的 用 户 名 及 用 户 组 需要 与 radius server 上 以 后 的 用 户 名 
MHP ZR SE Ce) 
# 创建 名 为 Jason 的 用 户 。 
[USG2200] user-manage user. Jason 
# 创建 名 为 admin 的 用 户 组 ,，* 并 将 用 户 名 为 Jason 的 用 户 加 入 该 用 户 组 ，。 
[USG2200-localuser-Jason]| user-manage group /admin 
Setp8 MAERA. R J Radius Policy. 
[USG2200]user-manage authentication-policy Radius_Policy 

















[USG2200-authpolicy-radius, policy Jauthentication-mode password radius 
template 1 

[USG2200-authpolicy-radius policy |ip-range 192.168.1.2 192.168.1.10 
[USG2200-authpolicy-radius policy ]quit 


SES zb Ée (Web) 


Setp1 配置 各 接口 卫 地 址 ， 并 将 各 接口 加 入 相应 安全 区 域 。( 上 略 ) 
Setp2 配置 域 间 转 发 策略 ， 保证 网 络 连通 性 。 选择 防火 墙 > 安全 策略 > 转发 策略 ， 在 trust 
到 untrust 区 域 的 策略 项 后 单 击 国 ， 修 改 策略 为 "permit*。 配 置 完 成 后 单 击 “ 应 用 ”。 
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T MMC: s TERE » 转让 策略 > 


ERRER 


ise P Tet 

目的 案 全 区 域 

福地 址 

目的 地 址 

HF 

服务 

时 间 段 

动作 permit 





Setp3 配置 路 由 ， 使 防火 墙 可 以 与 互联 网 进行 通信 。 选 择 路 由 > 静态 > 静态 路 由 ， 单 击 “ 新 
建 ”， 添 加 一 条 静态 路 由 。 配 置 完成 后 单 击 “ 应 用 *。 
ETENIM 、 


态 K 
EET ESI T UN 


接口 — NONE 一 一 


IP Link — NONE — 
Erne 





Setp4 ` MA NAT 策略 。 选 择 防 火 墙 ※SNAT> 源 NAT， 单 击 “ 新 建 "， 选 择 将 源 地 址 转换 为 接 
O IP 地 址 ， 接 口 为 连接 互联 网 的 出 接口 (GE0/0/1)。 配 置 完成 后 单 击 “ 应 用 ”。 
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新 ”防火 墙 NAT > 源 NAT > 


NAT NAT 地 址 池 


新 建 源 NAT 


IBS det trust 

目的 安全 区 域 untrust 

JH 192.168.0.0/24 
目的 地 址 Vere FF Ra ^, |P Hh1Ik 
动作 MAT 转 执 

描述 





将 涯 地 址 转 撞 为 . 地 址 池 中 的 地 址 接口 iP 地址 
接口 GE0/0/1 ( 








Setp5 配置 DNS 服务 器 ， 保 证 内 网 用 户 可 以 链接 卡 柬 联网 。 选 择 网 络 >DNS>DNS,， 在 服 
务 器 列表 中 输入 DNS 服务 器 地 址 ， 单 者 * 添 加”。 


TET > DNS s DNS > 


服务 器 列表 


$€ mis TA mf | 


发 职 方式 
v 210.21.196. | STATIC 


Setp6 配置 Radius 服务器。 选择 用 户 > 认 证 服务 器 >RADIUS 服务 器 , 单 击 列表 中 的 新 建 ， 
创建 一 外 radius 服务 器 。 设 置 共 享 密码 为 1234$6。 配 置 完 成 后 单 击 “应 用 ”。 
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e RP. 认证 服务 器 RADIUS 服务 器 > 


EERRADIUSIE $-3€ 


RADUSIES SAH 1 z 共享 窗 ITTTITTTITTTTTTTTTT 


LAUE-E BR S IP 192 168 0 2 | <1-65535> 

认证 从 服务 强 IP 1812 <1-65535> 

VESETE RR SSEIP 192 168 0 2 TES : «1-855535» 

vse MR SS aP f f f 1813 z1-B5535- 
mbil 

z BESSER 3 = tex, 

应 莹 超时 时 间 5 gu 服 备 器 类 型 

HAS-Port iate NAS-Port- di 126 

ite ERE 

HF BHE 了 包 合 用户 组 名 称 






































# 测试 USG 与 RADIUS 服务 器 的 连通 性 。 点 击 配置 下 的 S. 图 标 。 测试 成 功 后 将 
会 看 到 如 下 提示 : 





Setp7 配置 用 户 信息 。( 此 处 创建 的 用 户 名 及 用 户 组 需要 与 radius server 上 以 后 的 用 户 名 
和 用 户 组 保持 一 致 。) 
# 创建 名 为 admin 的 用 户 组 。 选 择 用 户 > 上 网 用 户 > 组 /用 户 ， 单 击 新 建 ， 选 择 新 建 
组 ， 输 入 组 名 ， 单 击 “ 应 用 ”。 


成 员 管 理 


nS F P 
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e HP 》 上 网 用 户 mm 





# 创建 名 为 Jason 的 用 户 。 单 击 新 建 ， 选 择 新 建 用 户 ， 输 入 用 户 名 ， 选 择 所 属 组 为 
admin。 单 击 “ 应 用 ”。 


5 A [v] root 
ab ivt admin 
d [C] user 


root.admin 


二 本 地 密码 国 
73 用 户 属性 





Setp 8 配置 认证 策略 。 策 略 名 为 Radius_Policy。 选 择 用 户 > 上 网 用 户 > 认 证 策略 ， 单 击 新 
建 ， 创 建 认证 策略 。 选 择 认证 方式 为 本 地 密码 认证 /服务 器 认证 ， 认 证 服务 器 类 型 
为 RADIUS， 认 证 服务 器 名 称 为 1。 单 击 应 用 。 
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Tu RP 上 网 用 户 S WERE `> 
; Ç r 


新 建 认 证 策略 


名 称 Radius Policy 
diit 
IP 地 址 范围 1 
AIET T, AHAA EAE SS SLATE 
¿ER gates e) RADIUS LDAP 
L| EAR SS n n 1 

新 用 户 认证 选项 (新 用 户 指 本 地 趟 存在 的 帐户 ) 























| am 




















验证 结 来 


配置 完成 后 ,用 户 使 用 浏览 郁 上 网 时 将 会 弹出 验证 对 话 框 党 输 入 用 户 名 密码 后 ， 即 可 上 
网 。 


2.3 BootRoom 密码 恢复 
实验 目的 


在 BootROM 中 配置 跳 过 Console 口 密码 登录 后 , 重新 进行 设置 。 部 分 设备 的 BootROM 
提供 了 清空 Console 品 密 码 的 功能 ， 可 以 在 用 户 使 用 Console 口 登录 的 时 候 跳 过 用 户 名 密码 
检查 。 这 样 系统 启动 后 除了 不 需要 输入 console 密码 外 ， 与 正常 启动 相同 ， 也 会 完成 所 有 配 
置 加 载 。 


组 网 设备 


PC 机 一 台 ，USG 系列 防火 墙 一 台 。 
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实验 拓扑 图 


G0/0/0 


冒 理 PC 192.168.0.1/24 
192.168.0.2/24 a: Min 


IE u Kiti 


Console 
Interface 





实验 步 又 (命令 行 ) 


Setp 1 
Setp 2 


Setp 3 


Setp 4 


Setp 5 
Setp 6 


Setp 7 


连接 到 设备 console 接口 。 

重启 设备 ， 出 现 “Press Ctrl+B to Enter Boot Menu...” 打 印信 息 时 ， 按 下 “Ctrl+B” 并 键 
入 密码 “O&m15213” 后 进入 BootROM +É, Ç 

TE E PR. rH nk ER lose 5C dE SE EB. HH TZ Ctrl+z 进入 "RE Recover Console Password” 
对 应 序号 。 

说 明 . 

部 分 设备 显示 为 “Skip Console0 Password”，* 该 选项 功能 作用 与 "Recover Console 
Password”* 作 用 相同 。 

如 果 主 采 单 和 隐藏 采 单 均 没 有 类 似 选 项 ;( 则 说 明 设 备 不 文 持 跳 过 Console 口 密码 登 
录 ， 请 选择 其 他 方法 解决 。 

TE Se Fr de E Reboot" 3r Fi 2J] « 

进入 系统 后 ， 以 配置 Console El HI? 44 admin, 58373 Admin 123 为 例 。 


«USG? system-view 





[USG] user-interface console 0 
[USG -ui-consoleO] authentication-mode local user admin password cipher 
Admin 123 
[USG -ui-console0] return 
保存 修改 ， 重 司 后 可 以 使 用 新 的 用 尸 名 和 密码 登录 。 


< USG > save 








The current configuration will be written to the device. 
Are you sure to continue?[ Y/N]y 
Now saving the current configuration to the device.............................. 


Info:The current configuration was saved to the device successfully. 


实验 步骤 (Web) 


N/A 


验证 结果 
使 用 新 创建 的 用 户 名 和 密码 登陆 设备 成 功 。 
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3 防火 墙 高 级 安全 特性 


3.1 基于 IP 地 址 连接 数 限 制 和 带宽 限制 


实验 目的 
了 解 到 基于 IP 地 址 的 连接 数 限制 和 带宽 限制 典型 组 网 和 配制 方法 。 


组 网 设备 
Ç 


PC 机 3 €. USG 5000 系列 防火 墙 1 6 


实验 拓扑 图 


Untrust 












GE0/0/1 
202.168.1.1/24 






GE0/0/0 fmm, 
10.1.1.1/24 Iz 








 PC2 
202.168.1.2/24 


PCI 
10.1.1.1.2/24 





10.10.10.1/24 


FTP Server 
10.10.10.2/24 


具体 需求 如 下 : 
e 为 防止 FTP 服务 器 受 攻 击 ,， 限 制 从 Trust 区 域 和 Untrust 区 域 到 FTP 端口 的 连 
接 数 上 限 为 20， 并 且 限 制 其 上 传 / 下 载 市 宽 为 : 5Mbps/10Mbps. 


限制 Trust 域内 每 个 PC 用 户 到 internet 的 上 传 /下 载 带 宽 为 :400kbps/600kbps。 








o 
实验 步骤 〈CLI) 
Setp1 MA USG 基本 数据 。 


# 配置 USG 接口 IP 地址 。 


«USG? system-view 
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[USG] interface GigabitEthernet 0/0/0 
[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 24 
[USG-GigabitEthernet0/0/0] quit 

[USG] interface GigabitEthernet 0/0/1 
[USG-GigabitEthernet0/0/1] ip address 20.1.1.1 24 
[USG-GigabitEthernet0/0/1] quit 

[USG] interface GigabitEthernet 0/0/2 
[USG-GigabitEthernet0/0/2] ip address 10.10.10.1 24 
[USG-GigabitEthernet0/0/2] quit 


8 将 USG 各 接口 加 入 域 。 


[USG | firewall zone trust Y 
[USG-zone-trust] add interface GigabitEthernet 0/0/0 

[USG-zone-trust] quit 

[USG] firewall zone dmz K 
[USG-zone-dmz] add interface GigabitEthernet 0/0/2 

[USG-zone-dmz] quit 

[USG] firewall zone untrust 

[USG-zone-untrust] add interface GigabitEthernet 0/0/1 

[USG-zone-untrust] quit 


Setp2 MAREP k ha RA. 
XS ERG Pa k. [Hu] y k ha BEP AE uH P PATI ro: 
e Trust RF Untrust 域 的 用 户 可 以 访问 DMZ 域 的 FTP JR gà. 


e Trust 域 用 户 可 以 访问 Untrust X. 


[USG] policy interzone trust untrust outbound 
[USG-policy-interzone-trust-untrust-outbound] policy 1 
[USG-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1.0 mask 24 
[USG-policy-interzone-trust-untrust-outbound-1] action permit 
[USG-policy-interzone-trust-untrust-outbound-1 |] quit 
[USG-policy-interzone-trust-untrust-outbound] quit 

[USG] policy interzone trust dmz outbound 
[USG-policy-interzone-trust-dmz-outbound] policy 1 
[USG-policy-interzone-trust-dmz-outbound-1] policy source 10.1.10.0 mask 24 
[USG-policy-interzone-trust-dmz-outbound-1] policy destination 10.10.10.2 0 
[USG-policy-interzone-trust-dmz-outbound-1] policy service service-set ftp 
[USG-policy-interzone-trust-dmz-outbound-1] action permit 
[USG-policy-interzone-trust-dmz-outbound-1] quit 
[USG-policy-interzone-trust-dmz-outbound] quit 
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[USG] policy interzone untrust dmz inbound 
[USG-policy-interzone-dmz-untrust-inbound| policy 2 
[USG-policy-interzone-dmz-untrust-inbound-2] policy destination 10.10.10.2 0 
[USG-policy-interzone-dmz-untrust-inbound-2] policy service service-set ftp 
[USG-policy-interzone-dmz-untrust-inbound-2] action permit 
[USG-policy-interzone-dmz-untrust-inbound-2] quit 


[USG-policy-interzone-dmz-untrust-inbound] quit 


Setp3 配置 NAT RK. 


[USG] nat address-group 1 202.168.1.10 202.168.1.20 

[USG] nat-policy interzone trust untrust outbound 
[USG-nat-policy-interzone-trust-untrust-outbound] policy 1 Ñ 
[USG-nat-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1:0 mask 24 
[USG-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
[USG-nat-policy-interzone-trust-untrust-outbound-1] address-gróup 1 
[USG-nat-policy-interzone-trust-untrust-outbound-1 ] quit 


[USG-nat-policy-interzone-trust-untrust-outbound] quit 


Setp4 配置 内 部 服务 器 。 


9etp 5 


Setp 6 


Setp 7 


[USG] nat server protocol tcp global 202.168.1.100 ftp inside 10.10.10.2 ftp 
[USG] firewall interzone trust dmz 

[USG-interzone-trust-dmz] detect ftp 

[USG-interzone-trust-dmz] quit 

[USG] firewall interzone dmz untrust 

[USG-interzoné-dmz-untrust| detect ftp 


[USG-interzone-dmz-untrust] quit 








启用 限 流 策略 功能 。 
[USG]traffic-policy enable 
启用 DPI 应 用 控制 功能 ， 使 DPI 应 用 协议 能 配 限 流 策略 应 用 ， 实 现 对 应 用 协议 的 


Uf vfi o 


[USG] dpi enable 
Into Initalze'DPESplease wan nn n eee 
[USG] 


配置 FTP 服务 右 的 连接 数 限制 和 带宽 限制 。 


# 配置 从 trust 和 untrust 区 域 到 DMZ 区 域 的 FTP 连接 数 限制 上 限 为 20. 


[USG] car-class classl type shared 


[USG-shared-car-class-class1] connection-number 20 
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[USG-shared-car-class-class1] quit 

[USG] traffic-policy interzone dmz untrust inbound shared 
[USG-traffic-policy-interzone-dmz-untrust-inbound-shared| policy 1 
[USG-traffic-policy-interzone-dmz-untrust-inbound-shared-1] policy car-class class1 
[USG-traffic-policy-interzone-dmz-untrust-inbound-shared-1] policy destination 
10.10.10.0 0.0.0.255 

[USG-traffic-policy-interzone-dmz-untrust-inbound-shared-1] policy service 
service-set ftp 

[USG-traffic-policy-interzone-dmz-untrust-inbound-shared-1 | action car 
[USG-traffic-policy-interzone-dmz-untrust-inbound-shared-1 | quit 
[USG-traffic-policy-interzone-dmz-untrust-inbound-shared] quit 

[USG] traffic-policy interzone dmz trust outbound shared Y 
[USG-traffic-policy-interzone-trust-dmz-outbound-shared] policy 1 
[USG-traffic-policy-interzone-trust-dmz-outbound-shared-1 | policy car-class class1 
[USG-traffic-policy-interzone-trust-dmz-outbound-shared- 1 | policy destination 
10.10.10.0 0.0.0.255 

[USG-traffic-policy-interzone-trust-dmz-outbound-shared-1 |-policy service 
service-set ftp 

[USG-traffic-policy-interzone-trust-dmz-outbound-shared-1 | action car 
[USG-traffic-policy-interzone-trust-dmz-outbound-shared-1 | quit 


[USG-traffic-policy-interzone-trust-dmz-oütbound-shared] quit 


# 配置 从 trust 区 域 和 untrust DXX DMZ 区 域 FTP 服务 器 的 上 传 带宽 限制 为 


5Mbps. 


[USG] car-class class2 type shared 

[USG-shared-car-class-class2] car 5000 

[USG-shared-car-class-class2] quit 

[USG] traffic-policy interzone dmz trust outbound shared 
[USG-traffic-policy-interzone-trust-dmz-outbound-shared] policy 2 
[USG-traffic-policy-interzone-trust-dmz-outbound-shared-2] policy car-class class2 
[USG-traffic-policy-interzone-trust-dmz-outbound-shared-2] action car 
[USG-traffic-policy-interzone-trust-dmz-outbound-shared-2] policy destination 
10.10.10.0 0.0.0.255 
[USG-traffic-policy-interzone-trust-dmz-outbound-shared-2] policy service 
service-set ftp 

[USG-traffic-policy-interzone-trust-dmz-outbound-shared-2] quit 
[USG-traffic-policy-interzone-trust-dmz-outbound-shared] quit 

[USG] traffic-policy interzone dmz untrust inbound shared 
[USG-traffic-policy-interzone-dmz-untrust-inbound-shared]| policy 2 
[USG-traffic-policy-interzone-dmz-untrust-inbound-shared-2] action car 


[USG-traffic-policy-interzone-dmz-untrust-inbound-shared-2] policy car-class class2 
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[USG-traffic-policy-interzone-dmz-untrust-inbound-shared-2] policy destination 
10.10.10.0 0.0.0.255 
[USG-traffic-policy-interzone-dmz-untrust-inbound-shared-2] policy service 
service-set ftp 

[USG-traffic-policy-interzone-dmz-untrust-inbound-shared-2] quit 


[USG-traffic-policy-interzone-dmz-untrust-inbound-shared] quit 


# 配置 从 trust 区 域 和 untrust 区 域 到 DMZ 区 域 FTP 服务 器 的 下 载 带宽 限制 为 
10Mbps。 


[USG] car-class class3 type shared 

[USG-shared-car-class-class3] car 10000 

[USG-shared-car-class-class3] quit . 
[USG] traffic-policy interzone dmz untrust outbound shared 
[USG-traffic-policy-interzone-dmz-untrust-outbound-shared] policy 3 
[USG-traffic-policy-Interzone-dmz-untrust-outbound-shared-3] pólicy source 
10.10.10.0 0.0.0.255 
[USG-traffic-policy-interzone-dmz-untrust-outbound-shared-3] policy car-class 
class3 

[USG-traffic-policy-interzone-dmz-untrust-outbound-shared-3] policy service 
service-set ftp 

[USG-traffic-policy-interzone-dmz-untrust-outbound-shared-3] quit 
[USG-traffic-policy-interzone-dmz-untrust-outbound-shared] quit 

[USG] traffic-policy interzone dmz trust inbound shared 
[USG-traffic-policy-interzone-trust-dmz-inbound-shared] policy 3 
[USG-traffic-policy-interzone-trust-dmz-inbound-shared-3| action car 
[USG-traffic-policy-interzone-trust-dmz-inbound-shared-3] policy source 10.10.10.0 
0.0.0.255 

[USG-traffic-policy-interzone-trust-dmz-inbound-shared-3]| policy car-class class3 
policy service service-set ftp 
[USG-traffic-policy-interzone-trust-dmz-inbound-shared-3]| quit 


[USG-traffic-policy-interzone-trust-dmz-inbound-shared] quit 
Setp8 配置 PC 带宽 限制 。 


# 在 Trust 到 Untrust BJ Outbound 7; In] EM E IP DR yr sss 1, 引用 car-class class4， 
限制 上 传 最 大 市 党 为 A00kbps 





[USG] car-class class4 type per-ip 
[USG-per-ip-car-class-class1] car max 400 
[USG-per-ip-car-class-class1] quit 

[USG] traffic-policy interzone trust untrust outbound per-ip 


[USG-traffic-policy-interzone-trust-untrust-outbound-per-ip] policy 4 
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[USG-traffic-policy-interzone-trust-untrust-outbound-per-ip-4] policy car-type 
source-ip 


[USG-traffic-policy-interzone-trust-untrust-outbound-per-ip-4] policy source 10.1.1.0 
0.0.0.255 


[USG-traffic-policy-interzone-trust-untrust-outbound-per-ip-4] policy car-class 
class4 


[USG-traffic-policy-interzone-trust-untrust-outbound-per-ip-4] policy service 


service-set ftp 
[USG-traffic-policy-interzone-trust-untrust-outbound-per-ip-4] action car 
[USG-traffic-policy-interzone-trust-untrust-outbound-per-ip-4] quit 


[USG-traffic-policy-interzone-trust-untrust-outbound-per-ip] quit 


# 在 Trust 到 Untrust HY inbound 77 IH]. Ei E IP DR Zü ds 2, 5| H] car-class class5; 


限制 P2P 下 载 最 大 市 宽 为 600kbps。 


[USG] car-class class5 type per-ip € 
[USG-per-ip-car-class-class2] car max 600 

[USG-per-ip-car-class-class2] quit 

[USG] traffic-policy interzone trust untrust inbound per-ip 
[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip] policy 5 
[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip-5] policy car-type 
destination-ip 

[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip-5] policy destination 
10.1.1.0 0.0.0.255 

[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip-5] policy car-class class5 
[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip-5] policy service 
service-set ftp 

[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip-5] policy category p2p 
[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip-5] action car 
[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip-5] quit 


[USG-traffic-policy-interzone-trust-untrust-inbound-per-ip] quit 
^r? ^s 1E TEX 
Scu zk (Web) 


Setp 1 配置 各 接口 IP 地 址 并 将 其 加 入 安全 区 域 。( 上 略 ) 
Setp 2 ”配置 包 过 滤 策 略 ， 保 证 路 由 可 达 。 
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LED RE AES. > 


S5 SEG TE 
中 新 建 并 mies 吊 清 除 全 部 命中 议 数 CD ISR | any zone —>| any zone [v] Q si| [ó] eerte 
ID mu 目的 地 址 HP Es Hii] Ex 动作 

3 untrust->trust 

ELA any ip perrnit 
3 trust->untrust 

Ex. 
El dmz-»trust 
3l trust-»dmz ° 

BUO O | ip al Cami 
B untrust-»dmz 

EK TA any ip oa permit 
i dmz-»untrust 


EALA, 





Setp3 配置 NAT RK. 
# 创建 NAT 地 址 池 1。 选择“ 防火 墙 > NAT > Ji NAT”. 选择 “NAT 地 址 池 ” 页 签 。 


在 “NAT 地 址 池 列 表 ” 中 单 市 "中 ， 电 置 完成 后 单 击 “应 用 ”。 
We BRUGES NAT > PENAT > 
ENAT NATHA HE iih ^N. 


新 建 NAT 地 址 池 、 <N M 


地 址 ith m I *zn-1023» 


Hit im fn 
起 站 IF 


结束 IP 





# 配置 源 NAT。 选 择 “ 防 火 墙 > NAT» 源 NAT". 选择 “ 源 NAT” 页 答 , 在 “ 源 NAT 


策略 列表 ”中 单 击 " 下 ， 配 置 完 成 后 单 击 “ 应 用 ”。 
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e BBS S NAT > 源 NAT > 


NAT NAT 地 址 地 


EAE NAT 


pae > > Et 

RÉE fet 

源 地 址 10.1.1.0/24 
目的 地 址 any 

动作 

描述 











将 源 地 址 转换 党 (e) 地 址 池 中 的 地 址 Quee 
地 址 池 4 NS [v]: 


w Torr HU A 
m E : 
Setp4 WA NAT server。 选 择 “ 防 火 墙 > NAT» 虚拟 服务 器 ”， 在 “虚拟 服务 器 列表 ”中 单 
ET, EARE YKE”. 


i End S NAT > EE BS ag > 





N 
修改 虚拟 服务 器 ww 


映射 方式 一 对 一 地 址 映射 
小 部 地 址 202.168.1.100 
内 部 地 址 10 40 . 
mop a 

[prs (e) TCP 

JEU INN 21(ftp) 


mcm 21(ftp) 


| EB || #m | 





Setp5 局 用 限 流 策略 .选择 "防火墙 > 限 流 策略 > 基本 配置 ”, 选中 “ 限 流 策略 ”对 应 的 “局 
用 ” 复 选 框 ， 单 击 “ 应 用 ”。 
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上 新 ”防火墙 限 流 策略 “， 基本 配置 ， 





Setp 6 ”配置 整体 限 流 。 配 置 FTP 服务 器 的 连接 数 限制 和 带宽 限制 。 
# 创建 整体 限 流 class。 选 择 “ 防 火 墙 > 限 流 策略 > 整体 限 流 "， 选 择 “ 整 体 限 流 
Class” 页 签 ， 单 击 " 下 ， 新 建 整体 限 流 。 


Class1 为 FTP 服务 器 最 大 连接 数 限制 ;Class2 为 从 trust 区 域 和 untrust 区 域 到 DMZ 
区 域 FTP 服务 器 的 上 传 带 宽 限 制 ，class3 为 从 trust 区 域 和 untrust 区 域 到 DMZ 区 
域 FTP 服务 器 的 下 载 带 宽 限 制 。 


LE 防火墙 限 流 第 略 > 整体 限 流 > 
整体 限 流 “整体 限 流 Class 


Frese r ig Class 
AAN 
«8-10000000-kbps 


x1-1000000- 


wasan 


s s > MARE > 


SAU 整体 限 流 class 
ÈRA RA Class 


=<8-10000000=kbps 


x1-1000000- 


Oo 8m 
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T 防水 墙 > 限 流 策略 > 整体 限 流 > 


SE FEBR S TEREERECIasS 


Fr se iF Raok Class 


AHR 
=8-10000000=kbps 


<1-1000000> 


| 应 用 | | XH 


# WAM trust 和 untrust 区 域 到 DMZ 区 域 的 FTP 连接 数 限 制 ， 选 择 “ 整 体 限 流 2 页 





签单 击 ' 生 ， 新 建 整体 限 流 策 略 1， 引 用 classl. 


ETIN 限 流 策略 BHR > 


Ü 


EHR SEREBRELCIass 


ERER 


iz p [> Eli 

目的 实生 区 域 

源 地 址 any 

目的 地 址 10.10.10.010.0.0.255 
H.P any 


Ru phin 请 选择 应 用 协 说 
RS fip 

时 间 自 

动作 

描述 











WPR Class class1 
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í 防火墙 限 流 策略 SERA > 


EHRE TERERRERCIass 


fre HIR UR SEG 


is ED et 
目的 实 全 区 域 
源 地 址 
目的 地 址 
HP 
MAK 
服务 

Eig] Er 

动作 

Text 


pk Class 


any| 
10.10.10.040.0.0.255 
any 

请 选择 应 用 协议 

ftp 


all 





gS 
EE ENS 


< 
+ 


*+ 


E z) z] 


) 


日 
[i 


x 


s] 


# 配置 从 trust 区 域 和 untrust 区 域 到 DMZ XER FTP 服务 器 的 上 传 带宽 限制 引用 


class2. 


im 
ii 


in 
iB 


t 
idi 


Ds 
idi 
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ue- ”防火墙 » 限 流 策略 > 3 FEE N 
3E HEBR 2 整体 限 流 Class 


TE OH THER ox SEG 


dep D et 

目的 安全 区 域 

源 地 址 am 

目的 地 址 10.10.10.010.0.0.255 
HP any 

应 用 协议 请 选择 应 用 协 襄 
HE 

时 间 段 

动作 

Takt 


* 


| D 
8 





E I E E 
Q 5 
IDE 


| 


Ai 
bd 
[i 


B 
[a 





[| i8) 图 8 








_ 


| N 
TedEPRELCIass class? 


«| 


LE 2 5 2. > 


整体 限 流 整体 限 流 Class Q: ` 


: V 
你 改 整体 限 流 策略 、 NN 


源 安全 区 域 

目的 安全 区 域 

源 地 址 amyl 

目的 地 址 10.10.10.010.0.0.255 
RP any 

应 用 协 说 请 选择 应 用 协 襄 
服务 | 

时 间 段 

动作 

描述 





整体 限 流 Class pee 
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# 配置 从 trust 区 域 和 untrust 区 域 到 DMZ 区 域 FTP 服务 器 的 下 载 带 宽 限 制 引 用 


class3。 


e Bida > 限 流 策略 > u > 


*t4 FE pz pem Class 


ERE BIB oCEB 


ise ep Fb 

目的 实 和 至 区 域 

源 地 址 10.10.10.040.0.0.255| 
目的 地 址 any 

HP any 

PAHS FEA HARNA 

ES 

时 间 段 

动作 

描述 














wE Class 
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LEO 2E o MEE > 


TEE ER Wife Class 


ERE B Ripa si EG 


源 安 全 区 域 
目的 安全 区 域 
源 地 址 

目的 地 址 
用 户 

Ez FE DRE 
服务 

时 间 段 

动作 

描述 


SERERE Class 


10.10.10.010.0.0.255| 


any 
any 

VERE TEE Po FH ERR 
ftp 


all 





Setp7 配置 每 下 限 流 , 配置 PC 带宽 限制 ,选择 “防火 墙 > 限 流 策略 > 每 IP 限 流 ”, 在 “每 
IP 限 流 策略 列表 ”中 ， 单 击 “ 新 建 ",\ 依 次 输入 或 选择 各 项 参数 ,配置 完成 后 单 击 “ 应 


29 
o 


4 创建 每 IP 限 流 classs. Class4 为 Trust 到 Untrust 的 Outbound Jy rH] E F. fE rf Pa DR. 
tl, class5 7j Trust 2l Untrust HJ inbound 方 回 上 下 载 带宽 限制 。 


LE RN 限 流 第 略 ,每 IP 限 流 、 


IFN IPR Class 


LC 让 限 流 Class 


总称 
PEUETR Sa, 
IAS Pa, 
Fo EEN 





«8-10000000-kbps (3 
«8-10000000-kbps 


«1-1000000- 


加 | 
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& PER sit tIPRREECIass 


fU SIPIBixClass 
名 称 — . 
(RETR W, «8-10000000-kbps (3) 
Tua M Ü <8-10000000=kbps 
Bei esa <1-1000000> 
”应 用 || 返回 
# fE Trust F| Untrust BJ Outbound 77 In] BÓ ELE IP BR u 38 6 1, 引用 car-class elass4, 
Pr]. E fede KN bi. 73 400kbps。 


LE 2 o 2E > 





HPR 每 IP 限 流 必 lass 


上 癣 改 每 IP 限 流 策略 


福安 主 区 域 

目的 安全 区 域 ji 

源 地 址 | 10.1.1.010.0.0.255] 
目的 地 址 = 

HP any 


Te i| 名 


应 用 协 向 清 选 择 应 用 协议 
Pa fip 

时 间 段 

动作 

描述 


t| 
E 


* 


E DEC qu I <] E 
5 
[ar 


PR30231 SR ido 


t IPER SE Class class4 





# 在 Trust 到 Untrust ËJ inbound 77 IH] Ei S SF IP 限 流 策略 2, 引用 car-class class5; 
限制 POP 下 载 最 大 市 宽 为 600kbps。 
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LE 2 AE > 
i r ú 


IPR IPRA Class 


E ap IP 120 s gG 


Ba > > Et 

目的 安全 区 域 

源 地 址 an 

目的 地 址 10.1.1.010.0.0.255 
any 


PPH 

















fp 


all 


限 语 对 四 ahh tih e. 目 的 地 址 


每 |P 限 流 Class | class [v |: 





验证 结果 
# 查看 FTP 服务 器 JP 地 址 表 信 息 。 


af ic-policy statistic per-ip car 





Type Src Vrf-» DstVrf SrcZone-» DstZone 
Passed Packets/Passed bytes Droped Packets/Droped bytes 
Src public->public trust->untrust 0 





[USG] display traffic-policy statistic shared car 
Current Total Node: 1 


Src Vrf-» DstVrf SrcZone-»DstZone Policy ID Passed Packets/Passed 
Bytes Droped Packets/Droped Bytes 
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public->public untrust->trust 1 
10620/86444 0/0 
[USG] display traffic-policy statistic shared connection 
Current Total Node: 2 


Src Vrf-» DstVrf SrcZone-» DstZone Policy ID CurConn 
public-5 public untrust-» dmz 1 2 
public->public trust->dmz 1 1 


3.2 负载 均衡 实验 


实验 目的 ` 


内 部 网 络 中 存在 多 个 真实 服务 器 对 外 提供 FTP HS , Ru 8L 0:23:99 18] 7] B6. 保证 流 经 USG 
的 流量 负载 均衡 。 某 内 部 网 络 中 存在 三 台 真 实 服务 器 对 外 提供 * FTP HRS, IP 地 址 分 别 为 
10.1.1.3/24、10.1.1.4/24 和 10.1.1.5/24， 对 外 的 虚拟 IP- 地 址 为 202.2.2.2/24。 要 求 配置 USG 
的 负载 均衡 功能 ， 保 证 经 过 USG 的 流量 负载 均衡 。 


组 网 设备 
PC 机 一 台 ，USG 系列 防火 墙 一 台 3 ,交换 机 一 台 ， 三 台 可 作为 服务 器 的 PC HL. 
实验 拓扑 图 


Server] 


PC 
202.2.2 3/24 10.1.1.3/24 








I 
JSG 





Seme Semer 


WIP: 202.2.2.2/24 10.1.1.4/24 10.1.1.5/24 


实验 步骤 (CLI ) 


Setp1 配置 USG 基本 功能 。 
# 配置 GigabitEthernet 0/0/1 的 IP 地址， 并 加 入 Untrust 区 域 。 
[USG] interface GigabitEthernet 0/0/1 
[USG-GigabitEthernet0/0/1] ip address 202.2.2.1 24 
[USG-GigabitEthernet0/0/1] quit 
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Setp 2 





[USG | firewall zone untrust 
[USG-zone-untrust] add interface GigabitEthernet 0/0/1 
[USG-zone-untrust] quit 
# 配置 GigabitEthernet 0/0/2 的 IP 地址 ， 并 加 入 DMZ 区 域 。 
[USG] interface GigabitEthernet 0/0/0 
[USG-GigabitEthernet0/0/2] ip address 10.1.1.1 24 
[USG-GigabitEthernet0/0/2] quit 
[USG] firewall zone dmz 
[USG-zone-dmz] add interface GigabitEthernet 0/0/0 
[USG-zone-dmz] quit 
# 配置 域 则 包 过 小 ， 以 保证 网 络 基 本 通信 正常 。 
[USG | firewall packet-filter default permit interzone untrust dmz a 
[USG] firewall packet-filter default permit interzone local dmz 
说 明 : 
由 于 USG 缺 省 对 真实 服务 器 进行 健康 检查 ， 此 时 需要 配置 允许 健康 检查 报 文 
在 USG 的 Local 和 DMZ 3i [R] H 77 [H] 727 « 
右 需 配置 严格 的 域 间 包 过 滤 ， 则 需 配 置 域 间 包 过 滤 的 源 或 者 目的 IP 地 址 为 真 
SE JR AS ss HJ IP. 
配置 负载 均衡 功能 。 
# 局 用 负载 均衡 功能 。 
[USG | slb enable 
[USG] slb 
[USG-slb] rserver 1 rip 10.1.1.3 weight 32 
[USG-slb] rserver 2 rip 10.1.1.4 weight 16 
[USG-slb] rserver 3 rip 10.1.1.5 weight 32 
# 配置 真实 服务 器 加 入 负载 均衡 组 。 
[USG-slb| group test 
[USG*slb-group-test] metric srchash 





[USG-slb-group-test] addrserver 1 
[USG-sIb-group-test] addrserver 2 
[USG-slb-group-test] addrserver 3 
[USG-slb-group-test]| quit 

# 配置 虚 服 务 器 IP 地 址 和 端口 号 。 
[USG-slb] vserver test vip 202.2.2.2 group test tcp 
[USG-slb] quit 


实验 步骤 (Web) 


Setp 1 


配置 USG 基本 功能 。 
# 配置 GigabitEthernet 0/0/1 的 了 王 地 址 ， 并 加 入 Untrust 区 域 。 
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LE RE BM #05 
fte GigabitEthernet 
接口 名 称 | SigabitEthernet0/0/1 
别名 
VPN 实 便 | public 
=== Ph | untrust 
(e. 路 由 


(e) EIF ( ) DHCP (.) PPPoE 


202 2 .2 .1 | | IP 地 址 详细 配置 





255 255 255 0 


LE A #05 #05 
fre GigabitEthernet 
接口 名 称 | GigabitEthernetO/0/0 
zl 
VENERI | public 
安全 区 域 | dmz 
ve; P EH 





EIP (O DHCP O PPPoE 


IF 地址 q 1 . f IF 地址 详细 配置 





FAHA 255 255. 


SRL Re | 





E 配置 域 则 包 过 滤 , 以 保证 网 络 基本 通信 正常 。 


条 ”防火 墙 、 安全 策略 “转发 策略 、 


es [> Bl 
目的 实生 区 域 
源 地 址 
目的 地 址 


HP 

B ss 

Pria] Ez 

动作 permit 
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LE BNET ANE `> 


$E oC Vo fa FE Hd 


iE [> de 

源 地 址 

服务 

时 间 段 

动作 permit 





说 明 M 

由 于 USG 缺 省 对 真实 服务 器 进行 健康 检查 ， 此 时 需要 配置 允许 健康 检 得 报 文 
Æ USG 的 Local 和 DMZ 域 间 出 方向 流动 。 

若 需 配置 严格 的 域 间 包 过 滤 ， 则 需 配 置 域 间 包 过 滤 的 源 或 者 目的 下 地 址 为 真 
实 服 务 器 的 IP. Ç 

Setp2 配置 负载 均衡 功能 。 

# 启用 负载 均衡 功能 。 选 择 “ 防 火 墙 > NAT > 负载 均衡 仿 _ 选中 “负载 均衡 功能 "后 
面 对 应 的 “启用 ”* 复 选 框 ， 单 击 “ 应 用 ”。 


SUIS RTL S 





# 配置 真实 服务 器 加 入 负载 均衡 组 选择“ 防火墙 > NAT» 负载 均衡 ”在 “负载 均 
衡 列表 ”中 ,， 单 击 “ 渐 建 "， 依 次 输入 或 选择 各 项 参数 ， 单 击 “ 应 用 ”。 
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Ke 防火墙 S NATO fumer. 
新 建 负 载 均 衡 


虚 服 务 器 名 称 
虚 服务 器 IP 
Et n = 


算法 srchash w] 
db = aeeie e pE. TBISHUEBUSL eo AAE Ae s 
VRRP 21-255» 

EIE S 


中 新 建 3$ mis C3 mis 
xS EP BB «1.632 描述 连接 控制 
v 10.1.1.5 32 自动 检测 EO 
10.1.14 16 自动 检测 
10.1.1.3 32 Eia 
do 注意 : 虚 服 邯 器 必须 至 少 要 包 澡 一 个 实 服务 器 。 如 果 配 置 的 实 服 车 器 已 被 其 他 虚 拆 服务 器 氢 定 ， 则 


EE TELS Sir LP bon Er R h GEL S IP— RT, EB RORIS ERIS] : ENS S e al E, 
他 虚 拟 服 邯 器 IF 神 实时 ， 必须 配置 协 以 和 端口 号 司 之 革 其 他 庶 服 芳 器 二 相同 或 者 更 的 IP。 


返回 | 

















应 用 





验证 结 来 


配置 完成 后 , 当 Untrust 区 域 的 PC 通过 虚 服 务 顺 IP 地 址 202.2.2.2/24 访问 DMZ 区 域 的 
Server FF, 可 通过 以 下 方式 查看 会 话 信 息 , 存在 号 条 到 真实 服务 器 的 会 话 , 说 明 USG 对 FTP 
服务 器 的 流量 实现 了 负载 均衡 。 

«USG? display firewall session table 

Current total Sessions : XX < I j 
ftp VPN: public publi 202.2.2.3:33277--» 202.2.2.2:21[10.1.1.4:21] 
ftp VPN: PEN ic AS public 202.2.2.3:3327--»202.2.2.2:21[10.1.1.5:21] 


ftp VPN: ie --> public 202.2.2.3:3327--»202.2.2.2:21[10.1.1.6:21] 
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4 防火 墙 可 靠 性 技术 


4.1 BFD 实 验 





实验 目的 
通过 配置 静态 路 由 绑 定 BFD 检测 链 路 是 否 发 生 故 障 。 

组 网 设备 
USG 防火 墙 2 台 ， 交 换 机 一 台 。 

实验 拓扑 图 













Pos2/0/0 — 4— 
222.2724 | 


GET/00 
1.1.1:2/24 












GET1/0/0 
1.1.1.1/24 


实验 步 又 (命令 行 ) 
ME USGA. 

Seph EAr LIP IP 地址 (上 略 )。 

Setp 2” 进入 Trust 区 域 视 图 ， 并 将 接口 加 入 安全 区 域 。 
[USG A| firewall zone trust 
[USG  A-zone-trust] add interface GigabitEthernet1/0/0 
[USG. A-zone-trust] quit 

Setp3 配置 Local 和 Trust 的 域 间 安全 策略 。 
[USG A] policy interzone local trust outbound 





[USG. A-policy-interzone-local-trust-outbound] policy 0 

[USG. A-policy-interzone-local-trust-outbound-0] policy source any 
[USG. A-policy-interzone-local-trust-outbound-0] action permit 
[USG. A-policy-interzone-local-trust-outbound-0] quit 


[USG A] policy interzone local trust inbound 
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[USG. A-policy-interzone-local-trust-inbound] policy 0 
[USG. A-policy-interzone-local-trust-inbound-0] policy source any 
[USG. A-policy-interzone-local-trust-inbound-0] action permit 
[USG. A-policy-interzone-local-trust-inbound-0] quit 
Setp4 1E USG A 上 配置 与 USG_B 之 间 的 BFD Session. 
[USG. A] bfd 
[USG. A-bfd] quit 
[USG A] bfd aa bind peer-ip 1.1.1.2 
[USG A-bfd-session-aa] discriminator local 10 
[USG A-bfd-session-aa] discriminator remote 20 
[USG A-bfd-session-aa] commit 
[USG A-bfd-session-aa] quit 


配置 USG B. 
Setp5 进入 Trust 区 域 视 图 ， 并 将 接口 加 入 安全 区 域 。 
[USG B] firewall zone trust & 


[USG. B-zone-trust] add interface GigabitEthernet1/0/0 
[USG B-zone-trust|] add interface POS2/0/0 
[USG. B-zone-trust] quit 
Setp6 配置 Local 和 Trust 的 域 则 安全 策略 。 
[USG B] policy interzone local trust outbound 
[USG. B-policy-interzone-local-trust-oüutbound] policy 0 
[USG. B-policy-interzone-local-trüst-outbound-0] policy source any 
[USG. B-policy-interzone-local-trust-outbound-0] action permit 
[USG. B-policy-interzone-local-trust-outbound-0] quit 
[USG B] policy interzone local trust inbound 
[USG. B-policy-interzone-local-trust-inbound] policy 0 
[USG.-B-policy-interzone-local-trust-inbound-0] policy source any 
[USG. B-policy-interzone-local-trust-inbound-0] action permit 
[USG B-policy-interzone-local-trust-inbound-0] quit 
Setp7. 在 USG_B 上 配置 与 USG_A 之 间 的 BFD Session. 
[USG_B] bfd 
[USG. B-bfd] quit 
[USG. B] bfd bb bind peer-ip 1.1.1.1 
[USG B-bfd-session-bb] discriminator local 20 
[USG B-bfd-session-bb] discriminator remote 10 
[USG B-bfd-session-bb] commit 
[USG B-bfd-session-bb] quit 
Setp8 配置 静态 缺 省 路 由 并 绑 定 BFD Zi 
# 在 USG_A 上 配置 到 外 部 网 络 的 静态 缺 省 路 由 ， 并 绑 定 BFD 会 话 aao 
[USG A] ip route-static 0.0.0.0 0 1.1.1.2 track bfd-session aa 
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4 配置 完成 后 ， 在 USG A 和 USG_B 上 执行 display session all 命令 ， 可 以 看 
到 BFD 会 话 已 经 建立 ， 且 状态 为 Up 。 在 系统 视图 下 执行 display 
current-configuration | include 命令， 可 以 看 到 静态 路 由 已 经 绑 定 BFD 会 话 。 
以 USG_A 上 的 显示 为 例 。 

[USG A] display bfd session all 





Local Remote PeerIpAddr State Type InterfaceName 


Total UP/DOWN Session Number : 1/0 
[USG. A] display current-configuration | include bfd Ç 
bfd 
bfd aa bind peer-ip 1.1.1.2 
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 track bfd-session aa 
# TE USGA EEF IP 路 由 表 ， 静 态 路 由 存在 于 路 由 表 中 。 
[USG A] display ip routing-table 
Route Flags: R - relay, D - download tofi 


Routing Tables: Public 


Destinations : 3 Routes : 3 

Destination/Mask Proto Pre Cost Flags NextHop Interface 

0.0.0.0/0. Static60 0 RD 1.1.1.2 
GigabitEthernet1/0/0 

1.1.1.0/24 Direct 0 0 [zc e | 
GigabitEthernet1/0/0 

1.1.1.1/32 Direct 0 0 D 127.0.0.1 
InLoopBackO 


# 对 USG B 的 接口 GELO/ TT shutdown 命令 模拟 链 路 故障 。 

[USG_B] interface GigabitEthernet 1/0/0 

[USG B-GigabitEthernet1/0/0] shutdown 
# 查看 USGA 的 路 由 表 ， 发 现 静 态 缺 省 路 由 0.0.0.0/0 也 不 存在 了 。 因 为 静态 缺 省 
路 由 绑 定 了 BFD 会 话 ， 当 BFD 检测 到 故障 后 ， 束 会 迅速 通知 所 绑 定 的 静态 路 由 不 
可 用 。 

[USG_A] display ip routing-table 

Route Flags: R - relay, D - download to fib 





Routing Tables: Public 


Destinations : 1 Routes : 1 
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Destination/Mask Proto Pre Cost Flags NextHop Interface 
1.1.1.1/32 Direct 0 0 D 127.0.0.1 
InLoopBackO 


4.2 Eth-Trunk5E Uy 


实验 目的 


配置 三 层 手工 负载 分 担 模式 Eth-Trunk 接口 ， 该 组 网 的 特点 是 Eth-Trunk 的 建立 ， 成 员 
接口 的 加 入 , 以 及 哪些 接口 作为 活动 接口 完全 由 手工 来 配置 ,没有 链 路 聚合 控制 协议 的 参与 。 
该 模式 下 所 有 活动 接口 都 参与 数据 的 转发 ， 分 担负 载 流量 。 


组 网 设备 
USG 系列 防火 墙 2 台 。 


实验 拓扑 图 














Eth-Trunk1 
GE1/0/0 100.1.1.1/24 "Wr 


` - =s ss axem. ~ 
| | p| 
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实验 步骤 (命令 行 ) 
配置 USG_A 

Setp1 创建 Eth-Trunk 接口 ,AS 并 配置 IP 地 址 。 
[USG_A] interface eth-trunk 1 
[USG -A-Eth-Trunk1 ] ip address 100.1.1.1 255.255.255.0 
[USG A-Eth-Trunk1 | quit 

Setp 2 A4 GE1/0/0. GE2/0/0 加 入 到 Eth-Trunk 1 中 。 
[USG A] interface gigabitethernet 1/0/0 
[USG A-GigabitEthernet1/0/0] undo shutdown 
[USG. A-GigabitEthernet1/0/0] eth-trunk 1 
[USG. A-GigabitEthernet1/0/0] quit 
[USG A] interface gigabitethernet 2/0/0 
[USG A-GigabitEthernet2/0/0] undo shutdown 
[USG. A-GigabitEthernet2/0/0] eth-trunk 1 
[USG. A-GigabitEthernet2/0/0] quit 

Setp3 配置 Eth-Trunk 1 加 入 Trust 安全 区 域 。 
[USG A| firewall zone trust 
[USG A-zone-trust] add interface eth-trunk 1 
[USG. A-zone-trust] quit 
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Setp4 MERHER. 
[USG A] policy interzone local trust outbound 
[USG. A-policy-interzone-local-trust-outbound] policy 0 
[USG. A-policy-interzone-local-trust-outbound-0] policy source any 
[USG. A-policy-interzone-local-trust-outbound-0] action permit 
[USG. A-policy-interzone-local-trust-outbound-0] quit 
[USG. A-policy-interzone-local-trust-outbound] quit 
[USG A] policy interzone local trust inbound 
[USG. A-policy-interzone-local-trust-inbound] policy 0 
[USG. A-policy-interzone-local-trust-inbound-0] policy source any 
[USG. A-policy-interzone-local-trust-inbound-0] action permit 
[USG. A-policy-interzone-local-trust-inbound-0] quit 
[USG. A-policy-interzone-local-trust-inbound] quit 

配置 USG_B 

Setp5 创建 Eth-Trunk 接口 ， 并 配置 耻 地 址 。 
[USG B] interface eth-trunk 1 
[USG B-Eth-Trunk1] ip address 100.1.1.2 255.255.255.0 
[USG B-Eth-Trunk1] quit 

Setp6 将 接口 GE1/0/0、GE2/0/0 加 入 到 Eth-Trunk L} 。 
[USG B] interface gigabitethernet 1/0/0 
[USG B-GigabitEthernet1/0/0] undo shutdown 
[USG B-GigabitEthernet1/0/0] eth-trunk 1 
[USG. B-GigabitEthernet1/0/0] quit 
[USG B] interface gigabitethernet 2/0/0 
[USG B-GigabitEthernet2/0/0] undo shutdown 
[USG B-GigabitEthernet2/0/0] eth-trunk 1 
[USG.-B-GigabitEthernet2/0/0] quit 

Setp7 HEE Eth-Trunk 1 加 入 Trust 安全 区 域 。 
[USG B] firewall zone trust 
[USG B-zone-trust] add interface eth-trunk 1 
[USG B-zone-trust] quit 

Setp8 MERHER. 
[USG B] policy interzone local trust outbound 
[USG. B-policy-interzone-local-trust-outbound] policy 0 
[USG. B-policy-interzone-local-trust-outbound-0] policy source any 
[USG. B-policy-interzone-local-trust-outbound-0] action permit 
[USG. B-policy-interzone-local-trust-outbound-0] quit 
[USG. B-policy-interzone-local-trust-outbound] quit 
[USG B] policy interzone local trust inbound 
[USG. B-policy-interzone-local-trust-inbound] policy 0 


[USG. B-policy-interzone-local-trust-inbound-0] policy source any 
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[USG. B-policy-interzone-local-trust-inbound-0] action permit 
[USG. B-policy-interzone-local-trust-inbound-0] quit 
[USG. B-policy-interzone-local-trust-inbound] quit 
验证 结果 
在 USG_A 或 USG_B 上 执行 display interface eth-trunk 命令 ,可 以 看 到 接口 状态 为 UP。 
以 USG_A 的 显示 为 例 。 
[USG A] display interface eth-trunk 1 
Eth-Trunk1 current state : UP 


Line protocol current state : UP 
Last line protocol up time : 2011-08-10 03:57:08 UTC4-08:00 


Description: Eth-Trunk1 Interface ° 
Route Port,Hash arithmetic : According to flow,Maximal BW: 2G, Current.BW: 2G, 
T 

he Maximum Transmit Unit is 1500 Ç 


Internet Address 1s 100.1.1.1/24 
IP Sending Frames' Format is PKTFMT_ETHNT_ 2, Hardware address is 
0018-8249-2a8d 
Physical is ETH. TRUNK 
Last 300 seconds input rate O bits/sec; 0 packets/sec 
Last 300 seconds output rate 0 bits/sec, 0 packets/sec 
Realtime 0 seconds input rate 0 bits/sec, 0 packets/sec 
Realtime 0 seconds output rate 0 bits/sec, 0 packets/sec 
Input: 0 packets,0- bytes; 
0 unicast,0 broadcast,O multicast 
0 errors,O drops, 
Output: 1 packets,64 bytes, 
0 unicast,] broadcast,O multicast 
0 errors,O drops 
Input bandwidth utilization  : 0.00% 
Output bandwidth utilization : 0.01% 


PortName Status Weight 
GigabitEthernet1/0/0 UP 1 
GigabitEthernet2/0/0 UP 1 


The Number of Ports in Trunk : 2 
The Number of UP Ports in Trunk : 2 

# USG_A fll USG B 的 Eth-Trunk 接口 能 够 互相 Ping 通 。 
[USG. A] ping -a 100.1.1.1 100.1.1.2 
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PING 100.1.1.2: 56 data bytes, press CTRL _C to break 
Reply from 100.1.1.2: bytes=50 Sequence- 1 ttl=255 time-31 ms 
Reply from 100.1.1.2: bytesz56 Sequence-2 ttl2255 time-31 ms 
Reply from 100.1.1.2: bytes=50 Sequence-3 ttl2255 tme=02 ms 
Reply from 100.1.1.2: bytesz56 Sequence-4 ttl2255 tme=02 ms 
Reply from 100.1.1.2: bytesz56 Sequence-5 ttl2255 tme=02 ms 
--- 100.1.1.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/49/62 ms 


4.3 IP-Link 实验 


实验 目的 


配置 静态 路 由 与 了 P-Link 联动 。 某 公司 通过 交换 机 连接 两 个 路 由 器 ， 以 双 链 路 接 入 
Internet， 为 了 保证 在 链 路 故障 时 可 以 动态 调整 静态 路 由 , JE USG 和 两 台 足 由 器 之 间 配 置 静 
态 路 由 绑 定 IP-Link, 将 Router 1 作为 主要 使 用 的 路 由 器 兴 在 出 现 故 障 时 , 动态 启用 到 Router 
2 的 路 由 ， 从 而 不 影响 内 网 用 户 正 常 访问 Internets 


X 











组 网 设备 
PC 机 两 台 、USG 系列 防火 雯 一 台 让 交换 机 两 台 ， 路 由 器 两 台 。 
实验 拓扑 图 
_ — — >Router 1 
IP-Link _ 2 P= 192.168.100.102/24 - 


- — —E on 192.168.100.200/24 
r-— 77" Las 


= 


| 
Switch 1 Switch 2 | 





Vlanif 1 


192.168.0.2/24 USG 192.168.100.105/24 


10.10.1.3/24 
192.168.100.103/24 
Trust Untrust Router 2 


实验 步 又 (命令 行 ) 
Setp1 配置 各 接口 的 卫 地 址 。 并 将 接口 加 入 安全 区 域 ， 配 置 域 间 包 过 滤 ， 以 保证 网 络 基 
本 通信 正常 。 
<USG> system-view 
[USG] interface GigabitEthernet 0/0/0 
[USG-GigabitEthernet0/0/0] ip address 192.168.0.1 255.255.255.0 
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Setp 2 


Setp3 


Setp 4 


Setp 5 


Setp 6 


实验 步 


Setp 1 





[USG-GigabitEthernet0/0/0] quit 
[USG] interface GigabitEthernet 0/0/1 
[USG-GigabitEthernet0/0/1] ip address 10.10.1.1 255.255.255.0 
[USG-GigabitEthernet0/0/1] quit 
[USG]firewall zone untrust 
[USG-zone-untrust]add interface GigabitEthernet 0/0/1 
[USG]firewall packet-filter default permit interzone untrust trust 
配置 NAT 策略 。 使 内 网 PC 可 以 与 外 网 PC 通信 。 
[USG]nat-policy interzone trust untrust outbound 
[USG-nat-policy-interzone-trust-untrust-outbound |policy 0 
[USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat 
[USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ip GigabitEthernet 0/0/1 
配置 IP-Link， 分 别 检测 USG 到 Router 1 和 Router 2 的 链 路 。 
[USG] ip-link check enable 
[USG] ip-link 1 destination 10.10.1.2 mode icmp K 
[USG] ip-link 2 destination 10.10.1.3 mode icmp 
配置 到 Internet 静态 路 由 ， 分 别 绑 定 各 目 链 路 的 IP-Link, 为 通过 Router 1 的 路 由 设 
置 较 高 的 优先 级 。 
[USG] ip route-static 0.0.0.0 0.0.0.0 10.10.1.2 track ip-link 1 
[USG] ip route-static 0.0.0.0 0.0.0.0 10.10.1.3 preference 70 track ip-link 2 
配置 交换 机 。 
# Switch 1 为 透 传 模式 ， 可 不 做 任何 配置 。 
# Switch 2 上 将 三 个 接口 加 大同 一 vlan， 并 配置 vlanif 接口 。PC2 的 网 关 地 址 为 该 
vlanif 接口 地 址 。 
[SW2] interface Vlanif 1 
[SW2-Vlanifl] ip address 192.168.100.105 24 
# 在 switch 2 `- WO ELSE H MAX OSPF. i 192.168.100.0/24 网 段 。 
[SW2] ospf 100 
[SW2-ospf-100] area 0 
[SW2-ospf-100-area-0.0.0.0] network 192.168.100.0 0.0.0.255 
配置 路 由 种 。 
# 配置 各 路 由 器 接口 IP 地 址 。 具 体 步 又 省 略 。 
# 在 Router 1 和 Router 2 上 分 别 配 置 OSPF， 通 告 10.10.1.0/24 网 段 和 
192.168.100.0/24 网 段 路 由 。 以 Router 1 配置 为 例 。Router 2 配置 类 似 ， 有 具体 步骤 省 
略 。 
[Router 1] ospf 100 
[Router 1-ospf-100]area 0 
[Router 1-ospf-100-area-0.0.0.0]network 10.10.1.0 0.0.0.255 
[Router A-ospf-100-area-0.0.0.0]network 192.168.100.0 0.0.0.255 





又 (Web) 
配置 各 接口 的 IP 地 址 。 并 将 接口 加 入 安全 区 域 。 具 体 步 又 省 略 。 
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Setp 2 ”配置 域 间 包 过 滤 策 略 ， 使 网 络 正 闸 通信 。 
LL ME MI 、 


转 点 策略 烈 表 
TPE 36 mis Mhea a | any zone —> | anyzone Q, 查询 | 国 高 级 查询 
ID mu 目的 地 址 HP 服务 Wi Ex 动作 
3 untrust-»trust 
EX. any i permit 
l trust->untrust 


EALA, any ip permit 





Setp3 配置 NAT Ri. IEA PC 可 以 与 外 网 PC 通信 。 
We BhÁdE > NAT > GENAT > 
源 NAT ”NAT 地 址 池 


EHE NAT 


d P [2 Eli 
目的 实 全 区 域 
HAE 
目的 地 址 
动作 

描述 





Tad EE AT ,J 地址 池 中 的 地 址 (œ 接口 I|P 地 址 
接站 GE0/01 Ee 





Setp4 ` 配置 IP-Link， 分 别 检测 USG 到 Router 1 和 Router 2 的 链 路 。 
# 选择 “系统 > 高 可 靠 性 > IP Link”， 选 中 “IP Link 功能 ”对 应 的 “启用 ”， 启 用 
IP-Link 功能 。 


IP LinkEHRE v ERI 





4 在 “IP Link 列表 ”中 ， 单 击 “ 新 建 "， 新 建 IP-link。 选 择 待 侦 测 目的 配置 方式 为 IP 
地 址 ， 分 别 检测 到 达 10.10.1.2 和 10.10.1.3 地 址 的 IP-link。 
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ES S 高 可 靠 性 IP Link > 

新 建 IP Link 
符 住 测 目 的 IF 配 置 方 式 (e) |P 地 址 
IP 地 址 
SE HELD ~] 
监控 蛤 (3) 
aR] Ef [El] 3 *<4-100>#b 
控 训 模式 . 


£ 35 o 高 可 竺 性 O IP Link > 


新 建 IP Link NS 


IP Link "e *z1-128- 
tiu B BSIPBCELTI T. te) IP 地 址 

IP 地 址 

Sie dde 

监控 给 | 
起 时 时 | *<4-100>#PË 
Tile zt, an. ICMP |J ARP 


| ER || EE | 
Setp5 配置 到 internet 静态 路 由 ,选择 “路 由 > 静态 > 静态 路 由 ”, 在 “静态 路 由 列表 ”中 ， 
单 击 “新 建 " 依 次 输入 或 选择 各 项 参数 ， 在 “IP Link 号 ”一 栏 中 分 别 绑 定 各 上 自 链 路 的 
IP-Link， 为 通过 Router 1 的 路 由 设置 较 高 的 优先 级 。 
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Setp6 配置 交换 机 。 
# Switch 1 为 透 传 模式 ， 可 不 做 任何 配置 。 
# Switch 2 上 将 三 个 接口 加 入 同一 vlan, 并 配置 vlanif 接口 。 PC2 的 网 关 地 址 为 该 
vlanif 接口 地 址 ; 
[SW2]interface Vlanif 1 
SKN it 1 Jip address 192.168.100.105 24 
# 在 Switch 2 上 配置 动态 路 由 协议 OSPF。 通 告 192.168.100.0/24 网 段 。 
[SW2]ospf 100 
[SW2-ospf-100]area 0 
[SW2-ospf-100-area-0.0.0.0]network 192.168.100.0 0.0.0.255 
Setp7 配置 路 由 器 。 
# 配置 各 路 由 咒 接 口 耻 地 址 。 有 具体 步骤 省 略 。 
# 在 Router 1 和 Router 2 上 分 别 配 置 OSPF， 通 告 10.10.1.0/24 网 段 和 
192.168.100.0/24 网 段 路 由 。 以 Router 1 配置 为 例 。Router 2 配置 类 似 ， 有 具体 步骤 省 
略 。 
[Router 1] ospf 100 
[Router 1-ospf-100]area 0 
[Router 1-ospf-100-area-0.0.0.0]network 10.10.1.0 0.0.0.255 
[Router A-ospf-100-area-0.0.0.0]network 192.168.100.0 0.0.0.255 
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rub ZH K 


在 10.10.1.2 链 路 工作 正常 时 ， 从 PCI tracert 到 PC2， 获 得 如 下 结 
C:\Documents and Settings\Administrator>tracert 192.168.100.200 





Tracing route to 192.168.100.200 over a maximum of 30 hops 


Ë * E Request timed out. 
p 2 ms 2 ms 2ms  10.10.1.2 
3 «] ms «] ms <l] ms 192.168.100.200 


]race complete. | 
在 PCI 上 运行 ping 192.168.100.200 —t 命令 。 然 后 在 Routeri 上 将 104042 f HO 
shutdown。 将 会 出 现 如 下 结果 ， 当 router 1 接口 down Hf, IP-link 将 会 采用 roüter2 的 链 路 
继续 与 PC2 通信 。 
C:\Documents and Settings\Administrator> ping 192.168.100.200 5t 


Pinging 192.168.100.200 with 32 bytes of data: 


Reply from 192.168.100.200: bytes=32 time&1ms TTL=125 
Reply from 192.168.100.200: bytesz32-üme« Ims TTL=125 
Reply from 192.168.100.200: bytes232 time«1ms TTL=125 
Reply from 192.168.100.200; bytes=32 tme<lms TTL=125 
Request timed out. 

Reply from 192.168/100:200: bytes=32 time<1ms TTL=125 
Reply from 192.168.100.200: bytes=32 time<1ms TTL=125 
Reply from 192.168.100.200: bytes=32 tme<lms TTL=125 


Ping statistics for 192.168.100.200: 
Packets: Sent = 18, Received = 17, Lost = 1 (5% loss), 
Approximate round trip times in milli-seconds: 
Minimum = Oms, Maximum = Ims, Average = Oms 
在 Routerl 上 将 10.10.1.2 接口 shutdown 后， 在 PCI 上 再 次 tracert 192.168.100.200, 将 
会 出 现 如 下 结果 : 
C:\Documents and Settings\Administrator>tracert 192.168.100.200 


Tracing route to 192.168.100.200 over a maximum of 30 hops 
1 ii i i Request timed out. 


2 2 ms 2 ms 2ms 10.10.1.3 
3 «] ms «] ms <l] ms 192.168.100.200 
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Trace complete. 


可 以 看 到 ， 此 时 ， 防 火 墙 已 经 选择 router2 的 10.10.1.3 接口 进行 数据 包 转 发 。 


4.4 防火 墙 双 机 热 备 实验 〈 主 备 备份 ) 


实验 目的 


完成 双 机 热 备 和 OSPF 的 结合 使 用 的 配置 并 理解 其 实现 原理 ， 两 台 USG 防火 墙 和 路 由 
器 之 间 运 行动 态 路 由 OSPF 协议 ， 和 交换 机 之 间 运 行 VRRP HN. USG 的 双 机 热 备 份 功能 
基于 VRRP 实现 ,在 USG 的 业务 接口 上 配置 一 个 VRRP 备份 组 加 入 VGMP 管理 组 的 Master 
或 Slave 管理 组 ， 组 成 主 备 备份 的 组 网 。 À 


组 网 设备 
两 台 PC 机 ， 两 台 防火 墙 ， 两 台 交 换 机 ， 两 台 路 由 器 。 Ç 
实验 拓扑 图 
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PE Haas 下 地址 可 根据 防火 墙 侧 地 址 网 段 自 行规 划 ， 且 使 用 OSPF 学 习 路 由 信息 。 
实验 步骤 (CLI ) 
配置 USG A. 


Setp1 配置 各 接口 IP 地址 ， 并 加 入 相应 安全 区 域 。 
<USG> system-view 
[USG] interface GigabitEthernet 2/0/0 
[USG-GigabitEthernet2/0/0] ip address 10.100.10.2 24 
[USG-GigabitEthernet2/0/0] quit 
[USG] firewall zone trust 
[USG-zone-trust] add interface GigabitEthernet 2/0/0 
[USG-zone-trust] quit 
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[USG] interface GigabitEthernet 2/0/1 
[USG-GigabitEthernet2/0/1] ip address 10.100.30.2 24 
[USG-GigabitEthernet2/0/1] quit 
[USG] firewall zone untrust 
[USG-zone-untrust] add interface GigabitEthernet 2/0/1 
[USG-zone-untrust] quit 
[USG] interface GigabitEthernet 2/0/2 
[USG-GigabitEthernet2/0/2] ip address 10.100.20.2 24 
[USG-GigabitEthernet2/0/2] quit 
[USG] firewall zone dmz 
[USG-zone-dmz] add interface GigabitEthernet 2/0/2 
[USG-zone-dmz] quit A 
Setp2 在 接口 GigabitEthernet 2/0/0 上 配置 VRRP 备 份 组 1, 并 配置 备份 组 的 虚拟 IE 地 址 。 
[USG] interface GigabitEthernet 2/0/0 
[USG-GigabitEthernet2/0/0] vrrp vrid 1 virtual-ip 10.100.10.1 máster 
[USG-GigabitEthernet2/0/0] quit 
Setp3 在 USGA 上 配置 运行 OSPF 动态 路 由 协议 。 
[USG] ospf 101 
[USG-ospf-101] area 0 
[USG-ospf-101 -area-0.0.0.0] network 10.100.30.0 0.0.0.255 
[USG-ospf-101-area-0.0.0.0] quit 
NOTE: 
配置 OSPF 动态 路 由 协议 的 时 候 ， 请 打开 Untrust HM Local 域 的 域 间 包 过 
滤 ， 避 免 阻 塞 正常 的 路 由 协议 报 文 。USG A 运行 OSPF 协议 对 外 发 布 路 由 时 ， 
不 能 发 布 与 交换机 相连 的 网 段 的 路 由 。 
Setp4 在 USGA 上 配置 引入 与 交换 机 相连 的 网 段 的 直 连 路 由 。 
[USG] acl 2009 
[USG-acl-basic-2009] description forRoutePolicyOnly 
[USG-acl-basic-2009] rule permit source 10.100.10.0 0.0.255.255 
[USG-acl-basic-2009] quit 
[USG] route-policy r1 permit node 1 
[USG-route-policy] if-match acl 2009 
[USG-route-policy] quit 
[USG] ospf 101 
[USG-ospf-101] import-route direct route-policy r1 
[USG-ospf-101] quit 
NOTE: 
引入 直 连 路 由 时 ， 不 能 引入 HRP 备份 通道 接口 所 在 网 段 的 路 由 。 因 此 必须 
通过 配置 路 由 策略 只 引入 与 交换 机 相连 的 网 段 的 直 连 路 由 。 
Setp5 配置 根据 HRP 状态 调整 OSPF 的 相关 COST 值 的 功能 。 
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[USG] hrp ospf-cost adjust-enable 
NOTE: 
USG 工作 在 路 由 模式 下 且 部 署 于 OSPF 网 络 中 做 双 机 热 备份 时 ， 主 备 USG 
上 都 必须 配置 该 命令 。 
Setp 6 ”配置 VGMP 管理 组 的 抢占 功能 为 开启 状态 ， 且 抢占 延迟 大 于 故障 恢复 后 OSPF H 
TUERI AC SACR [R] & 
[USG] hrp preempt delay 60 
NOTE: 
根据 实际 组 网 情况 分 析 故 障 恢复 后 OSPF 协议 的 收敛 时 间 , 必须 配置 此 抢占 
延迟 大 于 OSPF 的 收敛 时 间 。 
Setp 7 在 接口 视图 下 配置 Master 管理 组 监视 接口 状态 。 
[USG] interface GigabitEthernet 2/0/1 
[USG-GigabitEthernet2/0/1] hrp track master 
[USG-GigabitEthernet2/0/1] quit 
Setp8 配置 会 话 快速 备份 。 
[USG] hrp mirror session enable k 
# 配置 HRP 备份 通道 。 
[USG] hrp interface GigabitEthernet 2/0/2 
NOTE: 
E% USG 的 HRP 备份 通道 接口 必须 直接 相连 ， 中 间 不 能 连接 交换 机 
Setp9 ”局 动 HRP. 
[USG] hrp enable 


























配置 USG B 





USG B 和 USG A 的 配置 基本 相同 ， 不 同 之 处 在 于 : 


1) USGB 各 接口 的 IP 地 址 与 USG A 各 接口 的 IP 地 址 不 相同 。 

2) 在 SGB 的 接口 GigabitEthernet 2/0/0 上 配置 VRRP 备份 组 时 , E USG A 的 
Master 管理 组 对 应 的 必须 配置 为 Slave 管理 组 。 

3 六 在 USG B 上 不 需要 配置 VGMP 管理 组 的 抢占 功能 。 








在 USG A 上 启动 配置 命令 的 自动 备份 、 配 置 ACL, 并 配置 Trust 区 域 和 Untrust 区 域 的 
域 间 包 过 滤 规 则 。 





Setp 10 局 动 配置 命令 的 目 动 备份 功能 。 
HRP M[USG] hrp auto-sync config 
Setp 11 创建 基本 ACL 2000， 配 置 源 地 址 为 10.100.10.0/24 的 规则 。 
HRP M[USG] acl 2000 
HRP M[USG-acl-basic-2000] rule permit source 10.100.10.0 0.0.0.255 
HRP M[USG-acl-basic-2000] quit 
Setp 12 配置 Trust 区 域 和 Untrust 区 域 的 域 间 包 过 滤 规 则 。 
HRP M[USG] firewall interzone trust untrust 
HRP M[USG-interzone-trust-untrust] packet-filter 2000 outbound 
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HRP_M[USG-interzone-trust-untrust] quit 
RU ELER FH AF o 


Setp 13 在 路 由 右上 配置 OSPF， 命 令 较 为 简单 ， 以 其 中 一 台 为 例 介绍 配置 命令 ， 另 外 一 人 台 
类 似 
[Router A] ospf 101 
[Router A-ospf-101 Jarea 0 
[Router A-ospf-101-area-0.0.0.0]network 10.100.30.0 0.0.0.255 
[Router A-ospf-101-area-0.0.0.0]network 192.168.1.0 0.0.0.2SS( 与 另外 一 合 路 由 器 
互连网 段位 192.168.1.0/24) 





配置 交换 机 。 


实际 应 用 中 ，Switch 与 USG 相连 的 接口 一 般 是 二 层 接口 ， 配 置 USGA. USG B ë 
接 到 Switch 的 接口 以 及 Switch 连接 到 Trust 区 域 的 接口 ， 将 此 三 个 接口 如 入 同一 
个 VLAN 2, 在 PC1 上 配置 静态 路 由 , 将 VRRP 备份 组 2 的 虚拟 IP 地 址 作为 到 达 其 
他 网 段 的 下 一 跳 地 址 ， 以 其 中 一 人 台 交 换 机 接口 配置 为 例 ， 其 他 接 髓 类 似 。 

[Switch A |vlan 2 

[Switch A-GigabitEthernet0/0/1 |port link-type access 

[Switch A-GigabitEthernet0/0/1 ]|port default vlan 2 


实验 步骤 (Web) 


配置 USG A。 


Setp1 选择 “网 络 > 接口 "， 旺 未 “接口 "界面 。 单 击 各 接口 对 应 的 国 ， 显 示 “ 配 置 
GigabitEthernet" 7E. 按照 拓扑 图 配置 各 接口 P 地 址 并 将 其 加 入 各 安全 区 域 。 具 
体 步 又 省 略 。 配 置 完成 后 ， 单 击 “ 应 用 ”。 

Setp 2 ”配置 USG A 的 VRRP 备份 组 。 选择 “系统 > 高 可 靠 性 "。 选择 “ 双 机 热 备 ” 页 签 。 
在 *VRID 列表 "界面 , iu; TIE ,显示 “新 建 VRID” 界 面 .配置 VRRP 备份 组 1， 
参数 配置 如 下 图 所 示 。 
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KH. 高 可 靠 性 UNDA > 


新 建 VRID 
VRRP VRID 1 *«1-255- 
接口 名 称 GENON vh | mERE 
HOPIE 
E IP HUE ED 10 . 100. 10 .1 |} |255 255 255 0 


T EPSH (e) Active ( ) Standby 














Setp3 配置 USGA 上 运行 OSPF 动态 路 由 协议 。 选 择 “ 路 由 > 动态 路 由 ”。 选择 “OSPF” 
TA, Ah TIE, ， 显 示 < 新 建 OSPF" 界 面 。 配 置 0SPF， 参 数 配 置 如 下 图 所 示 。 


AN aEOSPF 
进程 ID 
tt EH aD 
SPF 计 算 间 隅 


PRESE | "C 


AS EMEEN l: =1-255> 
VE Tr E h EH 





Setp4 “在 OSPF 进程 101 的 右 侧 ， 单 击 [多 ， 在 “区 域 配 置 " 栏 中 ， 单 击 定 新 证， 显示 “新 建 
区 域 ”* 界 面 。 在 区 域 0 里 面 发 布 10.100.30.0/24 网 络 路 由 ， 参 数 配置 如 下 图 所 示 。 
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FSEEIP 
IE/ Ee fü fe 


LAUER, — NONE — 
[X 56 25 





Bal”. A 
Setp5 局 动 USG A 的 HRP 功能 。 选择 “系统 > 可 靠 性 ”"。 选择 “ 双 机 热 备 ”页 签 在 “ 双 
机 热 备 界面， 选中 “HRP 启动” 前 的 复 选 枉 ， 选 择 GigabitEthernet 2/0/2- 作 为 "HRP 
备份 通道 "， 如 下 图 所 示 。 Ç 


r= RH 高 可 千 性 > 观 机 热 备 > 


B RULES r 


5S Y 
HRP 状 意 : 
HRP£& 1818 GENUM 区 A eM 


mi 





单 击 “应 用 ”。 

Setp6 配置 USGA 的 HRR 状 态 监控 组 。 在 “HRP 启动 ”的 “高 级 " 栏 中 ， 单 击 “ 配 置 HRP 
状态 监控 组 * 右 侧 的 “配置 ”, 显示 “配置 状态 监控 组 界面。 在 名 , 选择 "Interface”， 
依次 填 和 外 各 参数 ， 单 击 甸 添 加 。 配 置 完成 后 的 显示 应 如 下 图 所 示 。 

”配置 状 态 监 控 组 | 


3€ 册 除 AEH Interface [v] ERROAN "EET 


接口 各 称 /VLAN 监控 类 型 状态 
^ GE2/0/2 Active up 





Setp7 在 USGA 上 启动 配置 ACL， 并 配置 Trust 区 域 和 Untrust 区 域 的 域 间 包 过 滤 规 则 。 
选择 “防火 墙 > 转发 策略 "点 击 悦 新建， 配置 参数 如 下 。 
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EE XE 1 


源 安全 区 域 trust 

目的 安全 区 域 untrust 

源 地 址 10.100.10.1/24 
目的 地 址 any 


be Be 


用 户 any 

服务 请 选择 服务 
时 间 自 all 

动作 permit 
Jet 


"e ir M 
E: 


Ed 





配置 USG B. 








USG B 和 USG A 的 配置 基本 相同 ， 不 同 之 处 在 于 : 


1) USG B 各 接口 的 IP 地址 与 USG A 各 接口 的 I 地 址 不 相同 。 
2) USGB 的 VRRP 指定 的 管理 组 应 该 设 为 Slave。 
3) USG B 的 GigabitEthernet 2/0/1 接口 下 的 HER 状态 监控 组 应 该 设 为 Slave。 





B ELER H ë o 





E H aS E. E. OSPF, F KHU E d ç rZ a h aR 








HU EL Switch. 


实际 应 用 中 ,Switch E USG 相连 的 接口 一 般 是 二 层 接 口 ,配置 Switch E; USG As 
USG B 以 及 Trust 或 Untrust 区 域 的 设备 相连 的 接口 ， 并 将 此 三 个 接口 加 入 同一 个 
VLAN. 

配置 静态 路 由 ,将 VRRP 备份 组 的 虚拟 了 PP 地 址 作为 到 达 其 他 网 段 的 下 一 跳 地 址 。 
具体 配置 请 参考 交换 机 的 相关 文档 。 





JE Ze AR 


在 USG A 上 执行 display vrrp 命令 ， 检 查 VRRP 备份 组 内 接口 的 状态 信息 ， 显 示 以 下 
信息 表示 VRRP 备份 组 建立 成 功 。 
HRP. M[USG] display vrrp 
GigabitEthernet2/0/0 | Virtual Router 1 
VRRP Group : Master 
state : Master 
Virtual IP : 10.100.10.1 
Virtual MAC : 0000-5e00-0101 
Primary IP : 10.100.10.2 
PriorityRun : 120 
PriorityConfig : 100 
MasterPriority : 120 
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Preempt: YES Delay Time:0 
Timer : 1 
Auth Type : NONE 
Check TTL : YES 
在 USG A 上 执行 display hrp state 命令 , 检查 当前 HRP 的 状态 , 显示 以 下 信息 表示 HRP 
建立 成 功 。 
HRP M[USG] display hrp state 
The firewall's config state is: MASTER 





Current state of virtual routers configured as master: 
GigabitEthernet2/0/0 vrid — 1: master 
Current state of interfaces tracked by master: 
GigabitEthernet2/0/1 : up 
PC2 作为 HTTP 服务 器 位 于 Untrust 区 域 ， 对 外 提供 HTTP 服务 。 在 Trust 区 域 的 PCI 
"mU; lH] Untrust 区 域 的 HTTP 服务 器 ， 并 进行 文件 的 下 载 操 作 。 分 别 在 USG A #I USG B 上 
检查 会 话 。 

HRP M[USG] display firewall session table verbose 

14:12:27 2010/02/01 X 
Current total sessions: 1 
http: VPN: public --> public 
Zone: trust --> untrust Slot: 4 CPU: 0 TTL: 00:00:10 Left: 00:00:03 
Interface: GigabitEthernet1/0/1 NextHop: 202.38.10.1 
&--packets: 908 bytes: 7548 --» packets: 23 bytes: 306 
acl: 2000 rule: 0 
10.100.10.3:2048 --» 202.38.10.1:80 

HRP S[USG B| display firewall session table verbose 

14:12:27 |. 2010/02/01 
Current total sessions: 1 
http: VPN: public --» public 
Zone: trust --» untrust Remote Slot: 4 CPU: 0 TTL: 00:00:10 Left: 00:00:03 
Interface: GigabitEthernet1/0/1 NextHop: 202.38.10.1 
&--packets: 0 bytes: 0 --»packets: 0 bytes: 0 
acl: 2000 rule: 0 
10.100.10.3:2048 --» 202.38.10.1:80 


分 别 在 USG A 和 USG B 上 进行 以 下 操作 ， 检 查 HRP 状态 和 VRRP 备份 组 内 接口 的 状 
AE 
a)- 选择 “系统 > 可 靠 性 ”。 

b) 选择 “ 双 机 热 备 "页 签 。USGA、USGB 的 显示 信息 分 别 如 下 图 所 示 。 

USG A 的 主 备 状 态 








限 置 双 机 热 兰 


itm. running 
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VRIDJA] 3; 
dosup 96 RES Qiu 
VRID gei rh Fi EE S O04 


3iGigabitEthernetz/0/0 (i fiif: NO ) 
10.100 10.1 


m 1 页 





USG B 的 主 备 状态 


KEW 8 
v HRPA) HRP: — Active zip Active wild: 
HRES [n d v| * SRM ; Hi: running 


高 级 


VRIDA34] 3X 
sug ues Og 
VRID HPHH FREE dr iH 


SipigabitEthernet? /0/D (ili: NO ) 





10.100.10.1 


m 110 





在 处 于 Trust 区 域 的 PCI 端 ping 处 于 Untrust 区 域 的 PC7 im, 4) 9] t€ USG A 和 USG B 
上 进行 以 下 操作 ， 检 查 会 话 表 。 
a) ”选择 “系统 > 信息 ”。 
b) ”选择 “会 话 表 ” 页 签 ， 查 看 会 话 表 项 信息 。 

USG A 和 USG B 上 都 有 对 应 的 会 话 表 项 ,表示 配置 双 机 热 备份 功能 后 ,会 话 备份 成 功 。 








4.5 Link-group. 实验 


实验 目的 


在 不 进行 J ip-link ( 链 路 检测 ) 的 情况 下 ， 当 FW 上 行 接 口 down, VRRP 可 以 进行 主 备 
切换 。 在 ,4 站 防火 场 双 机 热 备 实验 的 基础 上 完成 该 实验 。 


组 网 设备 
两 台 PC 机 ， 两 台 防火 墙 ， 两 台 交 换 机 ， 两 台 路 由 器 。 
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实验 拓扑 图 








G2/0/2 Untrust 


10.100.20.2/24 












Virtual ip 
10.100.10.1 





G2/0/2 
PC1 10.100.20.3/24 


10.100.10.5/24 





PC2 


G2/0/0 10.100.50.5/ 


10.100.10.3/24 
USG B 10.100.40.3/24 
5? L^ LE ` Z 
实验 步骤 (命令 行 ) 
X 
Setp1 保持 原 4.4 的 实验 环境 与 配置 不 变 。 
Setp2 配置 防火 墙 A 接口 GigabitEthernet 2/0/0 加 入 到 Link-group 1 
[USG_A] interface GigabitEthernet 2/0/0 AN à 


* 


[USG. A-GigabitEthernet2/0/0] link-group 1..." i 

[USG A-GigabitEthernet2/0/0] quit — — ~œ 
Setp3 配置 防火 墙 A 接口 GigabitEthernet 2/0/1 JJILA FI] Link-group 1 

[USG A]interface GigabitEtiernet 2/0/1 

[USG. A-GigabitEthernet2/0/1) link-group 1 

[USG. A-GigabitEthertict2/0/1] quit 











实验 步骤 (Web) 


Setp1 KIKKA 的 各 业务 接口 加 入 link group 1 Fo ARRA > 高 可 靠 性 > Link 
Group". ft*Link Group” 中 ， 选 择 要 配置 的 Link Group, A 国 ， 在 “可 选区 域 
框 中 选中 GE2/0/0 和 GE2/01 Jis 于 。 
de XH » 高 可 靠 性 > Link Group > 
修改 Link Group 
Link Group 
接口 可 选 
[ES 


FE1/ü/ü GE2ID/D 








FE2/0/0 .. GE2I0H 
FE2/0/1 E 
FE2/0/2 a 


FE2/0/3 
FE2/0/4 
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验证 结果 
当 防 火 墙 A 接口 GE1/0/0 断 抒 时， 观察 主机 热 备 切换 速度 及 接口 GE2/0/1 的 物理 状态 。 
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5 虚拟 防火 墙 技 术 


5.1 虚拟 防火 墙 实验 


实验 目的 

学 握 虚拟 防火 墙 的 典型 组 网 并 实现 配置 管理 。 ` 
组 网 设备 

PC 主机 6 6. USG 系列 防火 墙 1 台 。 ç 
实验 拓扑 图 


GE 0/0/2 


-VEW I 10.1.1.1/24 
MEUSE GE2/0/1 
PCI 100.1.1.1/24 s VFW2 













_ VFW1 GE 1/0/1 x 
Cons 192.168.1.1/24 | 
_ — | VFW 2 
sar Untrust s 
“°... 2.].1.1/24 GE 2/0/2 uM 
AP 192.168.100.100/24 
| Internet 





PC3 


USG 统一 安全 网 关 向 外 提供 出 租 业务 , VPN 实例 vfw1 租 给 企业 A, vfw2 租 给 企业 B. 

1 企业 A 和 企业 B 能 够 地 址 重 登 。 

2 Vfwl 划分 为 Trust、DMZ (Demilitarized Zone)、Untrust 三 个 安全 区 域 。 其 中 ，Trust 
安全 区 域 部 署 内 部 用 户 ，DMZ 安全 区 域 部 普 对 外 服务 器 ，Untrust 安全 区 域 部 车 外 部 用 
P. Trust 安全 区 域内 的 用 户 通 过 公 网 地 址 访问 外 部 网 络 。 Untrust 安全 区 域 的 用 户 能 
够 访问 DMZ 安全 区 域 的 服务 器 。 

3 — Vfw2 为 企业 B 提供 UTM 功能 。 具 体 功 能 如 下 : 
e Web 网 站 控制 :禁止 访问 包含 bt.com 或 bitcom.net 的 网 站 。 
e Web 下 载 控 制 :禁止 下 载 AVI 文件 。 
e FTP 控制 : 禁止 下 载 AVI 文件 。 
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实验 步 又 (CLI ) 
Setp 1 创建 虚拟 防火 场 vfwl。 


< USG> system-view 
[USG] ip vpn-instance vfw1 
[USG-vpn-vfw]1] route-distinguisher 100:1 
[USG-vpn-vfw1] quit 
C) 说明; 
创建 虚拟 防火 增 后 ， 需 要 同时 配置 路 由 标识 ， 奋 则 不 能 进行 后 续 配 置 。 


Setp 2 配置 以 太 网 接口 。 


# 配置 以 太 网 接口 GigabitEthernet 0/0/2 
[USG] interface GigabitEthernet 0/0/2 
[USG-GigabitEthernet0/0/2] ip binding vpn-instance vfw1 
[USG-GigabitEthernet0/0/2] ip address 10.1.1.1 24 
[USG-GigabitEthernet0/0/2] quit X 








C) dij. 
mi E colo E 2 EIE META Khay, AREH P hE. WO 
相反 ， 则 先 配置 的 地 址 会 被 删除 。 
# 配置 以 太 网 接口 GigabitEthernet 1/0/0 
[USG] interface GigabitEthernet-1/0/0 
[USG-GigabitEthernet1/0/0] ip binding vpn-instance vfw1 
[USG-GigabitEthernet1/0/0] ip address 192.168.1.1 24 
[USG-GigabitEthernet1/0/0] quit 
# Bug Pb) KISS EI GigabitEthernet 1/0/1 
[USG] interface GigabitEthernet 1/0/1 
[USG-GigabitEthernet1/0/1] ip binding vpn-instance vfw1 
[USG-GigabitEthernet1/0/1] ip address 2.1.1.1 24 
[USG-GigabitEthernet1/0/1] quit 


Setp.3 ` 配置 以 太 网 口 加 入 vfw1 的 安全 区 域 。 


# 配置 GigabitEthernet 0/0/2 加 入 该 TRUST 安全 区 域 。 
[USG] firewall zone vpn-instance vfw1 trust 
[USG-zone-trust-vfw]1] add interface GigabitEthernet 0/0/2 
[USG-zone-trust-vfw1] quit 

4 配置 GigabitEthernet 1/0/0 加 入 该 DMZ 安全 区 域 。 

[USG] firewall zone vpn-instance vfw1 dmz 
[USG-zone-dmz-vfw1] add interface GigabitEthernet 1/0/0 
[USG-zone-dmz-vfw1] quit 

# 配置 GigabitEthernet 1/0/1 加 入 该 UNTRUST 安全 区 域 。 


[USG | firewall zone vpn-instance vfw1 untrust 
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[USG-zone-untrust-vfw1] add interface GigabitEthernet 1/0/1 
[USG-zone-untrust-vfw1] quit 





C 说 明 ; 
接口 与 安全 区 域 需要 均 属 于 同一 虚拟 防火 墙 ， 否 则 无 法 成 功 将 接口 加 入 安全 
区 域 。 


Setp4 配置 Trust 安全 区 域 的 用 户 可 以 通过 公 网 地 址 访问 外 部 网 络 。 


# 配置 NAT 地 址 池 。 
[USG] nat address-group 1 2.1.1.5 2.1.1.10 vpn-instance vfw1 
# 配置 Trust 到 Untrust ERA Hi 77 I8] FJ JJ ha ES , 


[USG] policy interzone vpn-instance vfw1 trust untrust outbound 





[USG-policy-interzone-trust-untrust-vfw 1] -outbound] policy 1 


[USG-policy-interzone-trust-untrust-vfw 1 -outbound-1] policy source 10.1.1.0 
0.0.0.255 


[USG-policy-interzone-trust-untrust-vfw l -outbound-1] action petit 
[USG-policy-interzone-trust-untrust-vfw ] -outbound-1 | quit 
[USG-policy-interzone-trust-untrust-vfw 1 -outbound] quit 

# 配置 Trust 到 Untrust 域 则 出 方 同 的 NAT 策略 。 
[USG] nat-policy interzone vpn-instance vfw1 trust untrust outbound 
[USG-nat-policy-interzone-trust-untrust-Vfw.] -outbound] policy 1 


[USG-nat-policy-interzone-trust-untrust-Vfw ] -outbound-1] policy source 10.1.1.0 
0.0.0.255 


[USG-nat-policy-interzone-trust-untrust-vfw ] -outbound-1] action source-nat 
[USG-nat-policy-interzone-trust-untrust-vfw ] -outbound-1] address-group 1 
[USG-nat-policy-interzone-trust-untrust-vfw ] -outbound-1] quit 


[USG-nat-policy-interzone-trust-untrust-vfw ] -outbound] quit 
Setp5 . ig? uj bg; A Sd 2 A o 
# 配置 vfwl 的 内 部 服务 需 。 


[USG] nat server vpn-instance vfw1 zone untrust global 2.1.1.100 inside 
192.168.1.2 vpn-instance vfw1 
JE ARE ES P3358 RC ds ILS T VPN 实例 vfwl. 
# 配置 vfwlH] DMZ 和 Untrust 域 间 防火 墙 策略 。 
[USG] policy interzone vpn-instance vfw1 dmz untrust inbound 
[USG-policy-interzone-dmz-untrust-vfw 1 -inbound] policy 1 


[USG-policy-interzone-dmz-untrust-vfw 1 -inbound-1] policy destination 192.168.1.2 
0 


[USG-policy-interzone-dmz-untrust-vfw 1 -inbound-1] action permit 
[USG-policy-interzone-dmz-untrust-vfw 1 -inbound-1] quit 


[USG-policy-interzone-dmz-untrust-vfw ] -inbound] quit 


Setp6 配置 虚拟 防火 墙 vfw2。 
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# 创建 VPN 实例 vfw2。 
[USG] ip vpn-instance vfw2 
[USG-vpn-vfw2] route-distinguisher 100:2 
[USG-vpn-vfw2] quit 

4 配置 GigabitEthernet 0/0/3 绑 定 VPN 实例 vfw2. 
[USG] interface GigabitEthernet 0/0/3 
[USG-GigabitEthernet0/0/3] ip binding vpn-instance vfw2 
[USG-GigabitEthernet0/0/3] ip address 100.1.1.1 24 
[USG-GigabitEthernet0/0/3] quit 

# 配置 GigabitEthernet 0/0/1 绑 定 VPN 实例 vfw2。 
[USG] interface GigabitEthernet 0/0/1 
[USG-GigabitEthernet0/0/1] ip binding vpn-instance vfw2 . 
[USG-GigabitEthernet0/0/1] ip address 200.1.1.1 24 
[USG-GigabitEthernet0/0/1] quit 

4 配置 GigabitEthernet 0/0/3 加 入 该 Trust 安全 区 域 。 
[USG | firewall zone vpn-instance vfw2 trust 
[USG-zone-trust-vfw2] add interface GigabitEthernet 0/0/3 
[USG-zone-trust-vfw2] quit 

4 配置 GigabitEthernet 0/0/1 加 入 该 DMZ ZAX H}. 
[USG | firewall zone vpn-instance vfw2.untrust 
[USG-zone-dmz-vfw2] add interface GiseabitEthernet 0/0/1 
[USG-zone-dmz-vfw2] quit 


Setp7 配置 路 由 ， 使 防火 场 可 以 连 搁 internet. 

[USG]ip route-static vpn-instance vfw2 0.0.0.0 0.0.0.0 192.168.100.254 
Setp8 配置 DNS IK im 你 证 内 网 用 户 可 以 链接 上 互联 网 。 

[USG]dnħs server 210.21.196.6 
Setp9 配置 虚拟 防火 场 vfw2 的 Web 过 小 。 


# 创建 URL 模式 组 bt， 将 bt.com. bitcom.net 加 入 到 公共 模式 组 中 ， 匹 配方 式 为 
任意 匹配 。 
[USG] pattern-group bt type url vpn-instance a 
[USG-pattern-group-url-bt-a] pattern any bt.com 
[USG-pattern-group-url-bt-a] pattern any bitcom.net 
[USG-pattern-group-url-bt-a] quit 
# 创建 文件 扩展 名 模式 组 download， 将 关键 字 AVI 加 入 到 公共 模式 组 中 。 
[USG] pattern-group download type file-extension vpn-instance a 
[USG-pattern-group-fe-download-a] pattern avi 
[USG-pattern-group-fe-download-a] quit 


[USG] pattern configure commit 


Setp 10 配置 虚拟 防火 墙 vfw2 BJ URL 过 小。 


HUAWEI T4 ££ zz 4 v] 2 28 84] T rp s VII ED LR S T 





# 启用 URL 过 滤 功 能 。 
[USG] url-filter enable 

# 创建 URL RIK urlpolicy， 局 用 黑白 名 单 ， 引 用 公共 模式 组 bto 
[USG] url-filter policy urlpolicy vpn-instance a 





[USG-urlfilter-policy-urlpolicy-a] blacklist enable 
[USG-urlfilter-policy-urlpolicy-a] blacklist group bt 
[USG-urlfilter-policy-urlpolicy-a] default action permit 
[USG-urlfilter-policy-urlpolicy-a] quit 

H 创建 Web 策略 webpolicy, 5| Hl URL 策略 。 
[USG] web-filter policy webpolicy vpn-instance a 
[USG-web-filter-policy-webpolicy-a] policy url-filter urlpolicy 

4 局 用 Web 内 容 过 滤 ， 实 现 Web 下 载 控制 。 
[USG-web-filter-policy-webpolicy-a] web-content enable 
[USG-web-filter-policy-webpolicy-a] web-content download file-extension group 


download action block Ç 
[USG-web-filter-policy-webpolicy-a] quit 


Setp 11 Hu MED Khi vfw2 的 FTP 过 滤 。 


# 创建 FTP 过 滤 策 略 。 
[USG | ftp-filter policy ftppolicy vpn-instance a 
# 引用 公共 模式 组 download. SEiE PAXSCTTE2ZS7H 73 AVI 的 文件 。 
[USG-ftp-filter-policy-ftppolicy-a] download file-type group download action 
block 
[USG-ftp-filter-policy-ftppolicy-a] quit 
# 在 虚拟 防火 墙 vfw2 的 域 间 应 用 UTM 策略 。 
说 明 ; 
由 于 访 何 的 连接 一 般 是 由 内 网 PC 发 起 的 ， 所 以 UTM 策略 应 用 在 Trust 到 
Untrust 的 Outbound 7; [H] . 
# 在 域 间 应 用 UTM 策略 。 


[USG] policy interzone vpn-instance vfw2 trust untrust outbound 





[USG-policy-interzone-trust-untrust-a-outbound] policy 0 
[USG-policy-interzone-trust-untrust-a-outbound-0] action permit 
[USG-policy-interzone-trust-untrust-a-outbound-0] policy web-filter webpolicy 
[USG-policy-interzone-trust-untrust-a-outbound-0] policy ftp-filter ftppolicy 
[USG-policy-interzone-trust-untrust-a-outbound-0] quit 
[USG-policy-interzone-trust-untrust-a-outbound] quit 

# 配置 NAT outbound， 使 内 网 用 户 可 以 访问 Internet. 
[USG] nat address-group 2 192.168.100.150 192.168.100.160 vpn-instance vfw2 


[USG] nat-policy interzone vpn-instance vfw2 trust untrust outbound 





[USG-nat-policy-interzone-trust-untrust-a-outbound] policy 0 


[USG-nat-policy-interzone-trust-untrust-a-outbound-0] policy source 100.1.1.0 
0.0.0.255 
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[USG-nat-policy-interzone-trust-untrust-a-outbound-0] action source-nat 
[USG-nat-policy-interzone-trust-untrust-a-outbound-0] address-group 2 
[USG-nat-policy-interzone-trust-untrust-a-outbound-0] quit 


[USG-nat-policy-interzone-trust-untrust-a-outbound] quit 


实验 步骤 (Web) 
Setp 1 创建 虚拟 防火 墙 vfwl. 


Á R 虚 拆 防火墙 ERa 


新 建 诬 拟 防火 荡 


庶 皂 防水 墙 名 称 
足 由 标识 兴 型 
路 由 标识 
描述 


O 上 网 用 户 资源 分 配 


| 





Setp 2 配置 各 接口 IP 地 址 并 将 其 加 入 虚拟 防火 墙 vfw1 的 安全 区 域 中 。 


LIE 网络、 接口 接口 


I I I 


i e GigabitEthernet N w 
"c 


HAARR GigabitEthernetü/D/2 

Al 

VPN E 
SPEC [> | 
Ad 


DHCP 1 PPPoE 


.1 -1 IP 地 址 详细 配置 
255 255 255 0 
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TE RE 05 #05 


fi GigabitEthernet 
ja 138 GigabitEthernati/DJO 
xil 
YPN 实例 vfw1 
== des dmz 
(e PE EH 
(e) Fë |P |.  DHCP |J PPPoE 
182 168 1 1 | md | 
255 255 255 O 


e RS #05 #05 


修改 GigabitEthernet QN 
IQ: |] eme * : 
ita ^N 
接口 名 称 Giga bitEthem etli011 
lla ` 
VPNSE I | vw 
= P Ec untrust 
(e) ER EH 
(e HEIP 四 DHCP (C) PPPoE 
. 1 IF 地 址 详细 配置 


2599. 255 255 0 





Setp3 将 web 配置 界面 视图 切换 至 vfwl. 





Setp4 ”配置 虚拟 防火 墙 域 间 包 过 小 转发 集 略 。 
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新 建 转发 策略 


请 实 至 区 域 trust 
目的 安全 区 域 untrust 
源 地 址 10.1.1.0/24] 


目的 地 址 VITESSE ml ^. PERHE 

用 局 VE EE RE ai^. FH P aEFH P2H 
服务 请 选择 服务 

Eti] Er all 

动作 permit 

描述 


Setp 5 ME NAT 策略 使 虚拟 防火 墙 trust 安全 区 域 的 用 户 可 以 通 近 
网 络 


n NS 
源 NAT — HATH LN 


新 建 NAT 地 址 池 à NN 


Hiit 
Hh lHith HR 
idtalP 
SERIF 





公 网 地 址 访问 外 部 


| «0-1023- 
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SD  NAT > #BNAT > 


#ëNAT NAT 地 址 季 


新 建 源 NAT 


rat a [> Eh trust 

H Bos [= fet untrust 

源 地 址 10.1.1.0/24 
目的 地 址 EEF RS ^, P HALE 
动作 NAT 转 执 

描述 一 


将 源 地 址 转换 光 (e) 地 址 池 中 的 地 址 (EDIP 


地 址 池 4 u O` Bi 
v| 区 许 端 口 地 址 转换 





Setp6 HtA NAT server 
TEM > NAT > 虚拟 服务 器 b 
ANE HE UE A 


BLATA T —33— HRE Re] 
外 部 地 址 、 >Ò 211100 
PATHAN 192 1868 1 


AORN 





Setp7. HUE 4 ACRI EE 8 HIP n] AV E A BE EUH OS ss 
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[x 防火 墙 、 TEHES 转发 策略 、 


i aueh ENG 


dose [> Bh untrust 

目的 安全 区 域 dmz 

HSH IL VERE TEE Bhai) A. |P rh Ik 
目的 地 址 192.168.1.2/32 

HP VERE Pe RE S^. FH Pat FH P'sH 
服务 请 选择 服务 

时 间 版 all 

动作 permit 

描述 





Setp 8 ”创建 虚拟 防火 墙 vftw2。 创 建新 的 虚拟 防火 墙 时 ， 需 要 切换 到 根 防火 墙 视图 下 创 
建 。 
La RH 》 HUB KAR > EHRE > 
AEE ES E 


KERA He Fes n 

踢 由 标识 当 型 

路 出 标识 | 2 *z(-555357:«0-4204967295- 
Tk 











^L]. 上 网 用 户 资源 分 配 - 


应 用 





Setp 9 将 相 应 接口 与 虚拟 防火 墙 vfw2 绑 定 ， 有 具体 步骤 省 略 。 
Setp.I10、 配 置 静态 路 由 ， 使 防火 才 可 以 连接 internet 
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Ls 2 2 天才 路 由 O 


3 SE BR s gë HH 


目的 地 址 
x: 168 100 254 P—IBETISELI- BE RIT == 


目的 VPN 实例 
F—HBEVPNSEER 
接口 

IP Link 

Tüsa sn 





Setp 11 配置 DNS 服务 器 。 
Áo M> DNS > DNS ` 
服务 和 列表 
3$ mis A mr | 210. 21. 196 `. eB 


an 





Setp 12 配置 虚拟 防火 墙 vfw2 的 web 过 滤 。 


Áo UTM > HA> URL 地 址 组 


l 


新 建 URL 地 址 组 w 
MN 


ny 


新 建 URL 地 址 


IEE 


bitcom.net 





HUAWEI 构建 安全 网 络 架 构 工 程 师 培训 上 机 指导 书 





URL 地 址 列表 

十 新建 3€ mies C3 pst | 
URL H 
bt.com 
bitcom.net 


| 95 [1 页 共 1 页 | 


LEUR 


I 


Sra PESE UH 


p cT downlaad 
Takt 
交 件 类 型 avi a| 


K 
V 


hd 


«| rec 

oO ». [8E ERR A Bs] EE M 
D: 

mp3 


avi 


PRETERA n cE RE FL 





Setp 13 MAMIK vfw2 的 URL I. 
# 启用 ORD 过 滤 功 能 。 


e uTM, Web 过 小 > FE > 


URLE v EF 
URL 热 点 库 v EF 


FHi#ahTE TETTE 
Je [eie 200 


Webi TU mr Sorry, the website is denied. You 
have no privilege ta access 
websites. 





# 创建 URL RK urlpolicy， 局 用 黑 晶 名单， 引用 公共 模式 组 bt. 
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LEURS > 


URDHER > 
新 建 URL 过 滤器 


urlpalicy 


VESELIRLORESRSE RES TE ERES CP SETS LRL SH 
n[ 3k 


| BRAHEA Q 查询 Gd mg | 中 新 建 


bt 


i£ UTM » Webzlis » URL Eas » 


EOEURLICuEGE A aa 


AER V urlperficy 
det URL policy 


默认 动作 Thu 
v BFIURLE S v 启用 URL 黑 省 单 
v 启用 自 定 必 分 类 过 滤 w ARAME oE 


FHER 控制 内 容 
URL 白 名 单 
URL 黑 名 单 bt 


# 启用 Web 内 容 过 滤 ， 实 现 Web 下 载 控制 。 
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ií UTM i: Webs 5 TRES > 
⁄ r a 


ira Vebr ub ss 
xd download 
描述 


























IraE M TFS UH 


xd Download 
描述 
AMARE 


Ei N +| 

a c a :, PEFR A PE 
n: 

mp3 

au 
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文件 类 型 配置 


中 新 建 | 请 输入 对 象 组 名 C 查询 M 刷新 
3 $38 £85 


SEO PRSSSUSH 


downlaad 

































































[^| E HiWebPazz itik 


过 语 选 项 IUE DEEUH SO 4H À ` EHI S yup 4H 
网 页 浏览 关键 字 M 
HTTP POST 关 键 宇 
上 尾 交 件 名 称 关 键 字 
下 载 立 件 名 称 关 键 宇 
Liebe 

下 载 交 件 类 型 


download 





IS] RC lg) ls;] lg] ES 


download 


Setp 14 MAMP Ki vfw2 的 FTP 过 滤 。 
# 启用 FTP 过 滤 功 能 。 


= UTM > FTP > Li 
r r r 

















FTPXtiE 





# 新 建 FTP 过 滤 策 略 。 
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LEUR E M 
SXEFTPIEUETENS 


PSEUD 
描述 


ftppolicy 







































































文件 类 型 配置 


中 新 建 | IESS À 352 Q 查询 F 刷新 
$38 £85 


SUB EH 


处 理 动 可 、 
a WN 


download 



















































































# 在 域 间 应 用 UTM 策略 。 
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D aac s D: Eli trust 

Hose Et Tuntust o 

潭 地 址 请 选择 或 辆 IP 地 址 

目的 地 址 VETE TE Bk iA, P HEHE 

HP Vp Pe nisa) A^. FH P ab Fd 2 2H 
BR Ve Pe RE 25 


时 间 自 al 
动作 permit 
Tek 


CI IPS 
[]AV 
Web 过 泪 
风 eb 过 证 策略 download 
[] Mi fEiL UE 
FTPiLuÉ 


FTP EREE b fippolicy 





# 配置 NAT outbound; 半 使 内 网 用 户 可 以 访问 Internet. 
í Bh: ha > NAT > JAMAT ` 


源 NAT — NATH&dbiA ` 


NC SN 
* x | 
SE NATA ib. 


Hii *z0-1023- 
HAIRA din 


起 她 IF 192 168 100 45012 


HEIP 192 168 100 160|* 


|^ 应 用 | | #m | 
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TM up > NAT > 源 NAT ^ 


NAT NATHE HE th 


新 建 源 NAT 


BP [> Ph trust 

目的 安生 区 域 untrust 

iHi ur 100.1.1.0/24 
目的 地 址 VETE TEE RE A. |P Hh 
动作 NATH H 

描述 


将 福地 址 转换 为 e 地 址 池 中 的 地 址 
地 址 季 2 
v^ 区 证 端口 地 址 转 执 


ma AA | 








验证 结 来 


验证 虚拟 防火 墙 vfw1 

l. JAPCI ping PC2, ÆW i E3síT display firewall session table， 查 看 NAT 地 址 转换 情 
Dio 

2. 从 PC3 ping NAT server 地 址 2.1.1.100， 在 防火 场 上 运行 display firewall session table, 
查看 NAT 地 址 转换 情况 。 

验证 虚拟 防火 墙 vfw2 

Setp1 -在 PC 上 访问 www.bt.com, 将 会 出 现 “The URL Blacklist is filtered" E fF. 
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6 防火 墙 高 级 VPN 技术 


6.1 点 到 多 点 IPSec VPN 实 验 


实验 目的 
掌握 IPSec 点 到 多 点 SA 策略 模板 方式 配置 
组 网 设备 


PC 主机 3 台 、USG 5000 系列 防火 墙 3 台 、 三 层 交 换 机 1 S. 


实验 拓扑 图 









G0/0/] 9m 
20052204 R 


PC2 
10.1.2.2/24 










G0/0/] 
202.2.2.1/24 


PCI 
10.1.1.2/24 








PC3 
10.1.3.2/24 


Branch A E 


e 总 部 FWA 为 固定 公 网 地 址 ,FWB FWC 为 动态 公 网 IJP( 实 验 环 境 配置 静态 IP 模拟 动 


zx IP 不 影响 IPSEC 的 配置 , 现 网 可 能 是 通过 ADSL 或 PPPOE 获得 的 IP). 


e 分支 机 构 PC2 PC3 与 能 与 总 部 PCI 之 间 进 行 安 全 通信 , 在 PC2 PC3 与 PCI 能 够 安 
全 通信 之 后 ,PC2 PC3 能 够 通过 FWA 进行 安全 通信 ,FWA 与 FWB FWC 之 则 使 用 


IKE 野 亦 模式 建立 安全 通道 , FWB FWC 不 直接 建立 任何 IPSEC 连接 。 
€ 在 FWAA fll FWB FWC 上 均 配 置 序列 号 为 10 的 IKE 提议 。 
e 为 使 用 pre-shared key 验证 方法 的 提议 配置 验证 字 。 
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实验 步 又 (命令 行 ) 
Setp1 三 层 交 换 机 的 配置 


# 配置 三 个 三 层 接口 卫 (VLANIF)， 分 别 与 防火 墙 A、B、C H H IP 地址 在 同一 
网 段 ， 三 个 防火 墙 的 缺 省 路 由 下 一 跳 丝 分 别 指 问 这 三 个 三 层 接 口 I P (VLANIF)。 


Setp 2 D Khi A 基本 配置 ,包括 IP 地 址 ,安全 域 。 


# 各 个 接口 的 IP 地 址 及 加 入 域 的 配置 略 ， 请 根据 具体 组 网 情况 配置 。 
# 配置 到 达 分 文 机 构 的 表态 路 由 
[FWA ]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 
# 定义 用 于 包 过 滤 和 加 密 的 数据 流 , ACL3000 定义 到 所 有 分 支 机 构 FWB FWC 网 
段 的 数据 流 , Soure 定义 为 总 部 ，destination 定义 为 各 个 分 文 的 明细 网 段 。 
[FWA acl 3000 N 
[FWA-acl-adv-3000] rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 
0.0.0.255 
[FWA-acl-adv-3000] rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.2.0 
0.0.0.255 
# 配置 trust Ej untrust 域 间 包 过 滤 规 则 
[FWA ]firewall packet-filter default permit interzone trust untrust 
# 配置 untrust 5 local 域 间 包 过 滤 规 则 
[FWA ]firewall packet-filter default permit interzone local untrust 
LU] 说 明 : 
Trust 和 untrust 的 域 间 规则 可 以 配置 默认 放 开 ,也 可 以 配置 用 ACL 来 放 开 . Hu 
置 Local 和 Untrust 域 闻 缺 省 包 过 涛 规则 的 目的 为 允许 IPSec PAIE WN Waj xz #& 38 
言 ， 使 其 能 够 协商 CSA。 


Setp3 防火墙 A 配置 IPSec 安全 提议 


E 创建 名 为 tranl 的 IPSec 提议 。 
[FWA]IPSec proposal tran1 
[FWA-IPSec-proposal-tranl |transform esp 





[FWA-IPSec-proposal-tran1 Jencapsulation-mode tunnel 
[FWA-IPSec-proposal-tranl Jesp authentication-algorithm md5 
[FWA-IPSec-proposal-tranl]esp encryption-algorithm des 





Setp4 ”防火墙 A 配置 IKE 提议 


[FWA | ike proposal 10 

[FWA-ike-proposal-10] authentication-method pre-share 
[FWA-ike-proposal-10] authentication-algorithm shal 
[FWA-ike-proposal-10] sa duration 86400 


Setp5 防火 场 A 配 置 IKE Peer 


# 创建 名 为 a BJ IKE peer 
[FWA | ike peer a 





HUAWEI 构建 安全 网 络 架 构 工程 师 培训 上 机 指导 书 





[FWA-ike-peer-al] ike-proposal 10 
[FWA-ike-peer-a] exchange-mode aggressive 
[FWA-ike-peer-a] pre-shared-key huawei 
LJ 说 明 : 
验证 字 的 配置 需要 与 对 闹 设 备 相 同 。 
Setp6 PD Khi A 配置 安全 策略 模板 


# 创建 安全 策略 模板 mapltmp。 
[FWA | IPSec policy-template mapltmp 10 





[FWA-IPSec-policy-templet-mapltmp-10] ike-peer a 
[FWA-IPSec-policy-templet-mapltmp-10] proposal tranl 
[FWA-IPSec-policy-templet-mapltmp-10] security acl 3000 . 
[FWA-IPSec-policy-templet-mapltmp-10] quit 

# 创建 IPSEC 安全 策略 mapl 
[FWA] IPSec policy map1 10 isakmp template mapltmp iN 


Setp7 DKI A 引用 安全 策略 


[FWA] interface Ethernet 1/0/0 
[FWA-Ethernet1/0/0] IPSec policy map1 


Setp8 D ha B 基本 配置 ,包括 IP 地址 ,安全 域 。 


# 各 个 接口 的 卫 地 址 及 加 入 域 的 配置 略 ， 请 根据 具体 组 网 情况 配置 。 
# 配置 到 达 总 部 和 其 他 私 网 的 襄 态 路 由 
[FWB [ip route-static 0.0.0.0 0.0.0.0 200.0.1.2 
# XE XH T tup DJE BS) ASCUR TL, 73. Y Sl I BB 2 2T 2C HJXR (ë source 定义 为 分 
XC EAS BH 2I INT E: destination 定义 为 总 部 和 分 文 的 所 有 网 段 . 
[FWB Jacl 3000 
[EWB-acl-adv-3000] rule permit ip source 10.0.1.0 0.0.0.255 destination 10.0.0.0 
0.255.255.255 
[FWB-acl-adv-3000]quit 
# 配置 域 间 包 过 滤 规 则 
[FWB ]firewall packet-filter default permit interzone trust untrust 


[FWB firewall packet-filter default permit interzone local untrust 
Setp9 Viki“ B 配置 IPSec 安全 提议 


# 创建 名 为 tranl 的 IPSec 提议 。 
[FWB IPSec proposal tran1 
[FW B-IPSec-proposal-tranl ]transform esp 
[FWB-IPSec-proposal-tranl Jencapsulation-mode tunnel 
[FW B-IPSec-proposal-tranl ]esp authentication-algorithm md5 
[FWB-IPSec-proposal-tranl Jesp encryption-algorithm des 
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[FWB-IPSec-proposal-tranl ]quit 
Setp 10 防火 场 B 配置 IE 提议 。 


[FWB] ike proposal 10 

[FWB-ike-proposal-10] authentication-method pre-share 
[FWB-ike-proposal-10] authentication-algorithm shal 
[FWB-ike-proposal-10] sa duration 86400 


Setp 11 防火 场 B 配置 IKE Peer 
# 创建 名 为 b 的 IKE peer 

[FWB] ike peer b 
[FWB-ike-peer-b] ike-proposal 10 
[FWB-ike-peer-b] exchange-mode aggressive 
[FWB-ike-peer-b] remote-address 200.0.0.1 
[FWB-ike-peer-b] pre-shared-key huawei 

Setp 12 DJ Khi B 配置 安全 策略 
[FWB] IPSec policy mapl 10 isakmp 
[FWB-IPSec-policy-isakmp-mapl -10] ike-peer b 
[FWB-IPSec-policy-isakmp-map] -10] proposal tranl1 
[FWB-IPSec-policy-isakmp-map] -10] security acl 3000 
[FWB-IPSec-policy-isakmp-map]l -10] quit 

Setp13 防火 墙 B 引用 安全 策略 
[FWB] interface Ethernet 1/0/0 
[FWB-Ethernet1/0/0] IPSec policy map1 

Setp 14 FWC 的 配置 


4 FWC Ez ACL 3000 的 源 地 址 、 默 认 路 由 、 接 口 IP 地 址 不 同 外 ， 其 他 与 FWB 一 
致 


实验 步骤 (Web) 
1. Configure USG A. 


e 配置 各 接口 IP 地 址 并 将 其 加 入 相应 的 安全 区 域 。 
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不 网络、 #05 #05 
fri GigabitEthernet 
OAR GigabitEthernet0/0/0 
ilz 
VPN 实 例 public 
安全 区 域 trust 
| 


(e^ 静态 IF ( 2 DHCP (LJ PPPoE 


IP 地 址 40 1 1 + | IP Ed ERR | 


TER 255 255 255 0 


BELA RAE | | f | K 
T MEZ » 接口 TEL] > 


Š.) 
&urGigabitEthernet ç š 
ga ReS 


接口 名 称 GigfgewethernetO/0/1 
5l N 


VP N2EPII public 
安全 区 域 untrust 
| 
(e^ EIP |) DHCP |J PPPoE 
TF 地 址 2022 2 1 1F 地 址 详细 配置 | 
子 网 撞 码 255 255 255 0l 


EXLA PEE 





e 配置 从 总 部 到 达 网 络 B 和 网 络 C RERE RE. UL PA f MUSEI 
达 网 络 B 的 转发 策略 ， 到 达 网 络 C REKA, eE 


# Untrust->trust 
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防火墙“ ZERG PERE 


TPE CP 22 Li] 


i |>: Ill 
目的 安全 区 域 
Wali IF 

目的 地 址 


permit 





it Trust-» Untrust 


f REN 


is EDS dei 

Fi BRTRESE [e 
HEHEHE 
目的 地 址 


HP 

服务 

时 间 段 

动作 permit 





e 配置 本 地 策略 ， 人 允许 untrust [X33 5 local 区 域 的 通信 。 配 置 Local 和 Untrust Jzk 
间 缺 省 包 过 滤 规 则 的 目的 为 允许 IPSec 隧道 两 端 设 备 通 信 ， 使 其 能 够 协商 SA. 
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ERRA ht 


ioc e felt 

IHRE 

服务 

Etta Er 

动作 | permit 


配置 到 达 网 络 B 和 网 络 C 的 静态 路 由 。 
í ka > BF e> > 


新 建 静 态 路 由 


接口 
IP Linke 
T sceR 


m 7 局 
T2885: > p S 


202 2 2 

| — NONE — 

IP Link& — NONE — 
EAEN 


创建 IKE 协商 阶段 1 ， 分 别 命名 为 b 和 c， 当 配置 c Pf, 


jo] Je". 





.2 | F—IHBERIBID A BE IRIET A28 


[v] 


“3 | F—BERHECUT ERIS 


|<1-255> 





m Xe TET TE AE 20] St 


i VPN > IPSec > IKE 协 商 ° 


hice: 
FRA =, 


HHDH 

预 共享 密 钥 

对 请 网 关 配 置 方式 
对 请 网 关 VPM 实 例 
AR 212 IP 
"pis EB CHE SER BT 
VPN 实 例 
一 回 ag 


HUAWEI 构建 安全 网 络 架 构 工 程 师 培训 上 机 指导 书 


(æ) y1 and V2 


Lo BEER, 


TIT 
JBE >| PR PR] 
public 

202 2 


public 








e VPN > IPSec > IKE 协 商 > 


版 本 

Era ERE, 

本 地 | 类 型 
HEA 

ism AAEN T 
Are HE TES e El 


VENH 











(æ) V1 and V2 


.2 BEER, 


Taxe FI 





























配置 IKE 第 二 阶段 协商 ， 引 用 阶段 1 的 配置 。 


HUAWEI FIE zz 4 Mt 28 RJ L PURSE VIL EU IR S 12 
- VPN IPSec IKE 协 南 > 
BipER 2 
Bip Es 1 
Sin Bir 1 


Aim 
-D 高 级 - 


T AM VPN » IPSec > 


e 新 建 IPSec 策略 。 


ON CN S > 


新 建 IPSec 策 略 AN 


IPSec 第 略 Fat 
源 地 址 ` 


目的 地 让 ` 
N hik 





| map 


n 
| 三 指定 备份 阶段 1 


[22 2 .2 


map temp 





[c 





[*«1-10000- 














m ap1 -1 ü 
(e) 指定 数据 流 


1011024 























10.1.2.0/24 


( 2 L2TP over IPSec 
国 
mo 





ip 





permit 
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i£ VPN > IPSec > IPSec 第 略 ` 


SrselP Sect ME 
IPSec 第 略 map_temp-1| 
SED Er I T. e JEE Sr W. 
dip tH 
目的 地 址 





e 将 IPSec 策略 应 用 到 接口 上 ， 点 击 ” JEHPRELI- -NONE-,, 选择 GEO/0/1 接口 。 
i£ VPN > IPSec > IPSec > 


IPSec 策略 列表 


E 目的 地 址 ^ ES 
. e? 


日 mapi 应 用 接口 : -NONE - (1 item) Ñ 























[C] 10.1.1.010.0.0.255 03-2, 010.0.0.255 ip permit 





2. Configure USG B. 





e 配置 各 接口 IP 地 址 并 将 其 加 入 相应 的 安全 区 域 。 配置 请 参考 USG A， 此 处 省 略 
具体 步骤 。 


e Hu PEL k [u] AER RRI 


# Untrust-> Trust 
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瞻 改 转发 策略 


i |>: elt 
目的 安全 区 域 
Wali IF 

目的 地 址 


| permit 





it Trust-» Untrust 


LE rs REI AU. `> 


" 4€ A.S 
修改 转发 策略 = e? 


IBS ect 
目的 安全 区 域 
源 地 社 
目的 地 址 


HP 

服务 

时 间 段 

动作 permit 





e 配置 本 地 策略 ， 人 允许 untrust [X Pk 5 local 区 域 的 通信 。 
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LE I RENE AE HARE > 


feo E Vb Ie ES d 


福安 全 区 域 
福地 址 


permit 





e 配置 到 达 网 络 A 的 静态 路 由 ， 此 处 下 一 跳 地 址 为 202.2.2.1。 


LE 路由、 380 PERH- 


EEG ESSE 


(2 
接口 — NONE — 
IP Links — NONE — 
Tán 


e Hu 8 28 u LH IKE 协商 参数 ， 新 建 名 为 a 的 IKE peer. 


. 1 | FHBESISEDIASREIRIST 232 


<1-255> 
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S VPN > IPSec > IKE 协 商 ^ 


版 本 

协商 模式 

本 地 上 .类 型 
预 共 享 密 钥 

Aim PIS BD EL T 
shima FS VP NER 
Ais PIP 

对 端 地 址 池 范 围 


YPN 实例 
一 四 高 级 


LD 


阶段 2 
阶段 1 

Xin BipER 1 
未 庙 网 关 IP 
-pag 


Ov2 


(^ EHR 


IF 
p= n 
8E PE 
| public 

202 2 


|! public 


| mapi 
- 
不 指定 备份 阶段 1 


202 2 2 


us V1 and V2 


O BEAN, 




















配置 第 二 阶段 的 IKE 协商 参数 ，5| 用 第 广 阶 段 配 置 。 


.2 


|^ EH || #0 


新 建 IPSec 策略 ， 将 IKE 配置 参数 引用 到 策略 中 。 
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i£ VPN > IPSec > IPSec 第 略 ， 


HIP Sect IG 
IPSect HE map 1-10 
SURE SEBOEL =. e 指定 数据 流 L2TP over IPSec 
源 地 址 10.1.2.0/24 v | 
目的 地 址 10.1.1.0/24 
ip 


permit 
























































e 将 IPSec 策略 应 用 到 接口 上 ， 点 击 ” JEHHELI: NONE -,, 选择 GE0/0/1 接口 。 


IPSec > IPSec 策 略 `> 


IPSec*k Eg 24 3x 


一 ZN 
| Wit dois e? 


















































配置 应 用 的 接口 




































































3. Configure USG C. (Omit) 





e USG C 的 配置 请 参考 USG B 的 配置 。 
验证 结果 
PC2 PC3 可 以 访问 PC1, 之 后 PCI 能 够 访问 到 PC2 PC3, 注 意 在 IPSEC SA 建立 之 前 , PCI 
不 能 主动 访问 PC2 PC3, PC2 PC3 也 不 能 互 访 .IPSEC SA 只 能 由 分 支 节 点 触发 . 
总 部 防火 墙 FWA 上 可 以 查看 到 两 对 IKE SA, phase 1 表示 IKE 协商 , phase2 表示 IPSEC 
SA 协商 。 
[FWA ]display ike sa 


connection-id peer vpn flag phase dol 
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10 200.0.2.1 0 RD l IPSEC 
8 200.0.1.1 0 RD l IPSEC 
11 200.0.2.1 0 RD 2 IPSEC 
9 200.0.1.1 0 RD 2 IPSEC 


flag meaning 
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
4j x. E. FWB HJ UAA IJ SA NB peer 的 IKE phase 1 和 phase 2 


«FWB?display ike sa 
connection-id peer flag phase dol 
13 200.0.0.1 RD|ST 1 IPSEC 
14 200.0.0.1 RD|ST 2 IPSEC . 


6.2 NAT 穿 越 实验 Ç 


实验 目的 
掌握 IPSec NAT. 罕 越 策略 模板 配置 
组 网 设备 
PC 主机 2 台 、USG 5000 系列 防火 墙 3 6 
实验 拓扑 图 
USG À UsG B GE 0/1 USG. C 


GE 0/0/1 — 202.2.2.1/24 GE 0/0/1 dmm, 
2x9022.1.004 E 202.2.2.2/24 RAME 







E Internet 
GE 0/0/0 — 
202.2.1.2/24 
, . Trust Trust 
E- E- 
PCI PC2 
10.1.1.2/24 10.1.2.2/24 


e PCI XE IPSEC 连接 ,能 与 PC2 之 间 进 行 安 全 通信 ， 在 USG_A 5E USG C 之 间 使 
用 IKE 野蛮 模式 自动 协商 + 策略 模板 建立 安全 通道 。 


e PCI 可 以 访问 公 网 。 
e 在 USG_A #l USG B 上 均 配 置 序列 号 为 10 f] IKE 提议 。 
e 为 使 用 pre-shared key 验证 方法 的 提议 配置 验证 字 。 
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USG A 为 固定 公 网 地 址 ，USG B 的 公 网 IP 地 址 与 IPSEC 配置 无 关 , USG_C 为 内 
网 地 址 ， 动 静态 无 关 。 


实验 步 又 (命令 行 ) 


Setp 1 


Setp 2 


Setp 3 


Setp 4 


整体 网 络 搭建 

# 防火 墙 A、B、C 之 间 需 保证 互通 。 防 火 墙 B 配置 NAT 后 ， 需 保证 防火 墙 C 能 
够 在 做 地 址 转换 后 与 防火 墙 A 互通 。 防 火 墙 B 只 需 做 普通 NAT 配置 。 

防火 墙 A 基本 配置 ， 包 括 IP 地 址 及 路 由 


# 配置 到 达 其 他 分 支 节 后 的 前 态 路 由 
[USG_Alip route-static 0.0.0.0 0.0.0.0 200.0.0.2 
# 定义 用 于 包 过 小 和 加 密 的 数据 流 ， 在 模板 方式 下 ， 总 部 只 建立 一 个 ACL, ACL 
的 源 可 以 定义 包括 忌 部 和 分 文 的 所 有 网 段 ， 用 于 分 支 网 点 的 互通 。 目 的 是 从 分 文 
机 构 的 明细 路 由 ， 对 于 每 一 个 分 文 机 构 ， 建 议 配 置 一 个 rule. 
[USG A]acl 3000 
[USG. A-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 Veetination 10.0.1.0 
0.0.0.255 
# 配置 域 间 包 过 滤 规 则 


[USG_A lfirewall packet-filter default permit interzone trust untrust 








[USG_A lfirewall packet-filter default permit interzone local untrust 
Trust 和 untrust HJERTE JU] i ERG EANA. Bu EL Local 和 Untrust HE sk £1 E, 
过 滤 规 则 的 目的 为 允许 IPSec BX3R Wb r 2638 45, TUBE? UMS SA. 
防火 墙 A 配置 IPSec 安全 提议 
# 配置 IKE 本 地 名 称 
[USG A]ike local-name USG A 
# 创建 名 为 "tranl 的 IPSec 提议 。 
[USG. A]IPSec proposal tran1 
[USG, A-IPSec-proposal-tranl |transform esp 











[USG. A-IPSec-proposal-tranl Jencapsulation-mode tunnel 
[USG. A-IPSec-proposal-tranl Jesp authentication-algorithm md5 
[USG. A-IPSec-proposal-tranl lesp encryption-algorithm des 
[USG. A-IPSec-proposal-tranl |quit 

以 上 配置 参数 为 缺 省 参数 ， 可 以 不 配置 

防火 场 A 配置 IKE 提议 。 
[USG A] ike proposal 10 
[USG. A-ike-proposal-10] authentication-method pre-share 








[USG. A-ike-proposal-10] authentication-algorithm shal 
[USG. A-ike-proposal-10] sa duration 86400 
[USG. A-ike-proposal-10] quit 

86400 秒 为 默认 ISAKMP SA 的 生存 周期 
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Setp 5 


Setp6 


Setp7 


Setp 8 





防火 墙 A 配置 IKE Peer 

# 创建 名 为 a H IKE peer， 模 板 方 式 下 ， 只 需要 创建 一 个 peer 
[USG A] ike peer a 
[USG. A-ike-peer-a] ike-proposal 10 
[USG. A-ike-peer-a] pre-shared-key Huawei 





[USG. A-ike-peer-a] local-id-type name 
[USG. A-ike-peer-a] remote-name FWC 
[USG. A-ike-peer-a] exchange-mode aggressive 
# 配置 NAT FR. 
[USG. A-ike-peer-a] nat traversal 
[USG. A-ike-peer-a] quit 
Jsu P B WO B mi 22 E06] Pm yz ee #H |F] o 
防火 墙 A 配置 安全 策略 模板 
# 创建 安全 策略 模板 mapltmp 
[USG A JIPSec policy-template mapltmp 10 





[USG. A-IPSec-policy-templet-mapltmp-10] ike-peer a 
[USG . A-IPSec-policy-templet-mapltmp-10] proposal tranl 
[USG. A-IPSec-policy-templet-mapl1tmp-10] security acl 3000 
[USG. A-IPSec-policy-templet-mapl1tmp-10] quit 

# 创 建安 全 末 略 ,引用 末 上 略 模 板 


[USG. AJIPSec policy map1 10 isakmp template mapltmp 
防火 场 A 5| HAER 


[USG A]interface Ethernet 1/0/0 
[USG. A-Ethernet1/0/0] IPSec policy map1 


UJ; C 基本 配置 ， 包 括 IP 地 址 及 路 由 
# 配置 到 达 总 部 和 其 他 分 文 节 点 的 静态 路 由 
[USG Cl]ip route-static 0.0.0.0 0.0.0.0 200.0.2.2 
# 定义 用 于 包 过 滤 和 加 密 的 数据 流 ,分 文 ACL 的 源 定 义 为 分 文明 细 网 段 ,destination 


定义 包括 总 部 和 分 支 的 所 有 网 段 ,用 于 和 总 部 及 其 他 分 支 网 点 的 互通 .对 于 每 一 个 
分 支 机 构 , 建 议 配 置 一 个 ACL 即 可 . 
[USG Cl]acl 3000 


[USG C-acl-adv-3000] rule permit ip source 10.0.1.0 0.0.0.255 destination 
10.0.0.0 0.0.0.255 


# 配置 trust Ej untrust 域 间 包 过 滤 规 则 
[USG C]firewall packet-filter default permit interzone trust untrust 
# 配置 untrust 5 local 域 间 包 过 滤 规 则 


[USG C]firewall packet-filter default permit interzone local untrust 
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Trust 和 untrust 的 域 间 可 以 配置 默认 放 开 ,也 可 以 配置 ACL 放 开 . 配置 Local 和 
Untrust 域 间 缺 省 包 过 滤 规 则 的 目的 为 允许 IPSec 隧道 两 端 设 备 通信 ， 使 其 能 够 协 
商 SA. 


Setp9 防火墙 C 配置 IPSec 安全 提议 

# 配置 IKE 本 地 名 称 
[USG C]ike local-name USG C 

# 创建 名 为 tranl 的 IPSec 提议 。 
[USG. C]IPSec proposal tranl 
[USG. C-IPSec-proposal-tranl |transform esp 
[USG. C-IPSec-proposal-tran] Jencapsulation-mode tunnel 
[USG. C-IPSec-proposal-tranl lesp authentication-algorithm md5 


[USG. C-IPSec-proposal-tranl lesp encryption-algorithm des 
[USG. C-IPSec-proposal-tran1 |quit 


Setp 10 防火 墙 C 配置 IKE 提议 。 


[USG_C] ike proposal 10 

[USG. C-ike-proposal-10] authentication-method pre-share 
[USG. C-ike-proposal-10] authentication-algorithm-shal1 
[USG. C-ike-proposal-10] sa duration 86400 

[USG. C-ike-proposal-10] quit 


Setp 11 防火 墙 C 配置 IKE Peer 


# 创建 名 为 c 的 IKE peer, 下 个 分 文 节 点 内 需要 创建 一 个 Peer 
[USG C] ike peer c 
[USG. C-ike-peer-c] ike-proposal 10 
[USG C-ike-peer-c| remote-address 200.0.0.1 
[USG.- C-ike-peer-c] pre-shared-key Huawei 
[USG. C-ike-peer-c] local-id-type name 
[USG C-ike-peer-c] remote-name USG A 
[USG. C-ike-peer-c] exchange-mode aggressive 

# 配置 NAT 29 8. 
[USG. C-ike-peer-c| nat traversal 
[USG. C-ike-peer-c] quit 

IUE Se BP] BO EL mi 2 EE Pm z TR IR] e 

Setp 12 防火 场 C 配 置 安全 策略 


# 创建 安全 策略 mapl 的 子 策略 10。 
[USG_C] IPSec policy map1 10 isakmp 
[USG. C-IPSec-policy-isakmp-map1 -10] ike-peer c 
[USG  C-IPSec-policy-isakmp-map]1 -10] proposal tranl 
[USG. C-IPSec-policy-isakmp-map1-10] security acl 3000 
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[USG_C-IPSec-policy-isakmp-map1-10] quit 
Setp 13 防火 墙 C 引用 安全 策略 


[USG C] interface Ethernet 0/0/0 
[USG C-Ethernet0/0/0] IPSec policy map1 


实验 步骤 (Web) 
Setp1 整体 网 络 搭建 


# 防火 墙 A、B、C 之 间 需 保证 互通 。 防 火场 B 配置 NAT 后 ， 需 你 证 防火 场 C 能 
够 在 做 地 址 转换 后 与 防火 墙 A 互通 。 防 火场 B 只 需 做 普通 NAT 配置 。 
1. 配置 防火 墙 A 1 





Setp 2 防火墙 A 基本 配置 ， 包括 IP 地 址 及 路 由 。 
# 配置 到 达 其 他 分 支 市 点 的 静态 路 由 


m EES 3 


Ep cpm 


IP Link 
Tusani 


























# BOELBXIRI LIT JS LU 
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fT REN 


福安 全 区 域 
目的 实 全 区 域 
iH UE 
目的 地 址 


| permit 


fT REN 


福安 主 区 域 

目的 实生 区 域 

福地 址 

目的 地 址 

HP 

服务 

时 间 段 

动作 | permit 
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LE 0 2E AE S ` 


ERRA biH 


i Ds Bh 
iE 

Mp S 
BIB] Ez 
动作 


permit 





Trust 和 untrust 的 域 间 规则 需要 配置 默认 放 开 。 配置 Local 和 Untrust Ek [š] $c 7 €, 
过 滤 规 则 的 目的 为 允许 IPSec 隧道 两 端 设备 通信 ， 使 其 能 够 协 阐 | SA. 


Setp3 ”配置 第 一 阶段 的 IKE 协商 参数 , 新 建 名 为 a 的 IKE peers WEARER 
式 ， 并 将 本 地 ID 类 型 配置 为 名 称 。 


i£ VPN > IPSec > IKE 协 商 > 


本 地 ID 关 型 

UT SED 
Hz š 

Tit H 
zh] BOE T, 
对 新 地 址 池 范 围 


YPN 实例 
pas 





AIETE im lA 


public 


(e) V1 and V2 


(^ EPSURI 





Setp4 在 KE 第 一 阶段 协商 的 高 级 设置 下， 配置 NAT 罕 越 功能 。 
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TTE 


ner DES-CBC 认证 算法 


DH 组 DH-Group1 [v | 


完整 性 算法 HMAC-SHA1 [v] 
SA 超时 时 间 86400 *«B0-604800» fl 
CDPD 工作 模式 — NONE — 

NATSERÉ v. st 


iem A LEIP HUE 





Setp5 配置 第 二 阶段 的 IKE 协商 参数 ， 引 用 第 一 阶段 配置 。 
c VPN > IPSec > IKER > 


C 


| mapitmp I | *z1-10000» 
































FÆI Sect BA 


IPSe co EE map 1tmp-10 bel 
SEHE L Ts 和 | 指定 煞 据 流 ( 2 L2TP over IPSec 
JEHAN 10.0.0.0/24 [v] i» 
目的 地 址 10.0.1.0/24 ® 
fa ip 

动作 permit 





Setp7 将 IPSec Man, gg AHE : NONE... 
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f VPN > IPSec > IPSec > 


IPSec 策略 列表 


PARE 36 NUES C2 RISE | 请 输入 IPSec 第 略 避 称 e, eig 
| F 目的 地 址 EX 

















= mapitmp 应 用 接口 -NONE - (1 Item) 
[ | 10.0.0.010.0.0.255 10.0.1.00.0.0.255 
FETE 配置 应 用 的 接口 


FET/DIDO 





2. 配置 防火 墙 C 
Setp 8 ”防火墙 C 基本 配置 ， 包 括 IP 地 址 及 路 由 。 
# 配置 到 达 其 他 分 支 节 点 的 静态 路 由 
E EN O 


新 建 静态 路 由 


a) | 下 一 跳 和 接口 不能 同时 当空 


[~ 
IP Link 号 = 


Tusani <1-255> 





# 配置 域 间 包 过 涛 规则 
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fT REN 


福安 全 区 域 
目的 实 全 区 域 
iH UE 
目的 地 址 


| permit 


fT REN 


福安 主 区 域 

目的 实生 区 域 

福地 址 

目的 地 址 

HP 

服务 

时 间 段 

动作 | permit 
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i , see AE ` 


ERRA biH 


ise e |>: t 

Hati 1: 

服务 

Fila] Ez 

动作 permit 





Setp9 Bp Khi C BG E IPSec 安全 提议 


i£ VPN > IPSec > IKEI > 


版 本 Ov Cv» (e) V1 and V2 
En ER, ce; PFE 

本 地 ID 类 型 

Vom: dn 

本 地 名 各 

HEH —— 

AER PIDE DT, JBE | m dos 

spas P] v PETRI public 

AE PES IP 200 0 

对 端 地 址 地 范围 


VPNSEERI public 
































— Eú Eb 





Setp 10 Æ IKE 第 一 阶段 协商 的 高 级 设置 下 ， 配 置 NAT 罕 越 功能 。 
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TTE 


ner DES-CBC 认证 算法 


DHiH DH-Group1 I] 


完整 性 算法 HMAC-SHA1 [> | 
SA 超时 时 间 86400 *«60-604800- fh 
DPD 工作 模式 — NONE — 

NATH s Bah 


2pm A LEIP HEHE 








Setp 11 配置 第 二 阶段 的 IKE 协商 参数 ， 引 用 第 一 阶段 配置 。 
i£ VPN > IPSec > IKE 协 商 
CS 
阶段 2 map 0 2 *«1-100007 
阶段 1 É 
rhe {ineei 
Am elI 
n mid. 
| ENY ëm | 


Setp 12 新 建 PSec RIK, X IKE 配置 参数 引用 到 策略 中 。 





i VPN » IPSec ^ IPSec 策略 > 


新 建 IPsec 策略 人、 
IPSec 第 略 map1-10 i 
Sg nnn ELI T. CIE 指定 数据 流 ( 2 L2TP over IPSec 
源 地 址 10.0.1.0/24 [v 


目的 地 址 10.0.0.0/24 @ 
TE » 
动作 permit 





Setp 13 将 IPSec 策略 应 用 到 接口 上 上， 点击 ” 诺 用 不 口 : -NONE-，。 


HUAWEI T4 ££ ZE v] 2 28 84] T Ups VII ENL Sep 





be VPN > IPsec ^ IPSec 第 略 s 


IF Seck 70 


PRE 36 删除 QO RISE | 请 输 六 IPSec 第 略 名 称 


mu 目的 地 址 服务 


= mapi 应 用 接口 : -NONE - (1 Item) 
10.0.1.00.0.0.255 10.0.0.0\0.0.0.255 i permit 
cB "E cew3c4sp;pid- 


FEBIDIO 





验证 结 来 


PC2 发 起 访问 ,之 后 PCI 与 PC2 之 则 可 以 相互 访问 . 
PC2 同时 可 以 访问 到 公 网 ,Ping USG_A 的 200.0.0.L 可 以 PING 通 ,同时 在 FWB 上 可 以 查 
看 NAT 转换 session KIN 


«USG B>dis firewall session table 
udp:200.0.2.1:500[200.0.1.1:13488]--» 200.0.0.1:500 
udp:200.0.2.1:4500[200.0.1.1:45488]--» 200.0.0.1:4500 


MB; Ad USGA Eo i S 8 SIPN NIKE SA, phase 1 表示 IKE 协商 ，phase2 表示 
IPSEC SA 协商 . 


«USG A»display ike sa 


connection-id peer 


vpn flag phase dol 
1 200.0.1.1 0 RD 1 IPSEC 
3 200.0.1.1 0 RD 2 IPSEC 


flag meaning 


RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT 
14:23:36 | 05-23-2008 


分 支 上 USG_C 可 以 查看 到 总 部 peer 的 IKE phase 1 和 phase 2, USG. C 是 发 起 方 ,标志 位 
为 ST 


<USG _C>dis ike sa 


connection-1d peer 


flag phase dol 
D 200.0.0.1 RD|ST 1 IPSEC 
6 200.0.0.1 RD|ST 


2 IPSEC 
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总 部 防火 增 USGA 上 可 以 查看 到 一 对 双 同 的 IPSEC SA, 对 应 两 个 分 文 USG C, nat 
traversal: Y 表示 IPSEC 的 NAT FRAN 
<USG_A>display IPSec sa 


IPSec policy name: "map1" 
sequence number: 10 
mode: template 
vpn: 0 
connection id: 5 
encapsulation mode: tunnel . 
tunnel local : 200.0.0.1 tunnel remote: 200.0.1.1 
flow source: 10.0.0.0/255.0.0.0 0/0 
flow destination: 10.0.1.0/255.255.255.0 0/0 Ç 


[inbound ESP SAs] 
spi: 3716495275 (0xdd8537ab) 
vpn: 0 
proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 
sa remaining key duration (bytes/sec): 1886658472/1187 
max received sequence-number: 11447 


udp encapsulation usSed.for nat traversal: Y 


[outbound ESP SAs] 
spi:3704042965 (0xdcc735d5) 
vpn: 0 
proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 
sa remaining key duration (bytes/sec): 1886475336/1187 
max sent sequence-number: 11447 


udp encapsulation used for nat traversal: Y 


6.3 隧道 化 链 路 备份 IPSec YPN 实 验 


实验 目的 
该 实验 介绍 如 何 通 过 隧道 化 配置 使 IPSec VPN 到 达 链 路 备份 的 作用 。 
组 网 设备 


PC 机 2 台 ，USG 系列 防火 墙 2 台 ， 路 由 器 /三 层 交 换 机 3 台 。 
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实验 拓扑 图 


10.1.1.2/24 


Untrust 















10.2.1.1/24 









GE0/0/1 
10.1.1.1/24 





GEO0/0/1 
10.3.1.1/24 ze 






10.2.1.2/24 
Tunnel 0 


BM 1.11.24  102.22/24 











GEO0/0/2 
10.1.2.1/24 


10.2.2.1/24 
> 


10.1.2.2/24 


192.168.0.2/24 Hber NNUS 192.168.1.2/24 


实验 步 又 (命令 行 ) 
配置 防火 墙 A。 
Setp 1 配置 各 接口 IP 地址 并 加 入 安全 区 域 
[USG. A] interface GigabitEthernet 0/0/1 


[USG. A-GigabitEthernet0/0/1] ip address 10.1.1.1 24 
[USG. A-GigabitEthernet0/0/1] quit 


[USG A] interface GigabitEthernet 0/0/2 
[USG. A- GigabitEthernet 0/0/2] ip address 10.1.2.1 24 
[USG. A- GigabitEthernet 0/0/2]. quit 


[USG A| firewall zone untrust 

[USG. A-zone-untrust] add interface GigabitEthernet 0/0/1 
[USG. A-zone-untrust]| add interface GigabitEthernet 0/0/2 
[USG -A-zone-untrust] quit 


Setp 2 -配置 域 间 安 全 转发 策略 。 





[USG A| firewall packet-filter default permit interzone trust untrust 


Setp3 ”创建 tunnel 接口 并 将 其 加 入 untrust 区 域 。 


[USG_A] interface Tunnel 0 

[USG. A-Tunnel0] tunnel-protocol ipsec 
[USG. A-Tunnel0] ip address 1.1.1.1 24 
[USG. A-Tunnel0] quit 

[USG A| firewall zone untrust 

[USG A-zone-untrust] add interface Tunnel 0 
[USG. A-zone-untrust] quit 


Setp 4 ”定义 保护 数据 流 。 
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[USG A] acl 3000 
[USG. A-acl-adv-3000] rule permit ip source 192.168.0.0 0.0.0.255 destination 
192.168.1.0 0.0.0.255 


Setp5 配置 IPSec 安全 提议 和 IKE 安全 提议 。 使 用 默认 参数 进行 配置 。 


[USG A] ipsec proposal tran1 
[USG. A-ipsec-proposal-tranl] quit 
[USG A] ike proposal 10 

[USG. A-ike-proposal-10] quit 


Setp6 配置 IKE peer. 


[USG A] ike peer b 

[USG. A-ike-peer-b] ike-proposal 10 

[USG. A-ike-peer-b] remote-address 10.3.1.1 

[USG. A-ike-peer-b] pre-shared-key huawei 

[USG. A-ike-peer-b] quit X 


Setp7 创建 IPSec 安全 策略 mapl. 


[USG A] ipsec policy mapl 10 isakmp 
[USG. A-ipsec-policy-isakmp-map]l -10] proposal tran1 
[USG. A-ipsec-policy-isakmp-map]l -10],security acl 3000 
[USG. A-ipsec-policy-isakmp-map1-10] ike-peer b 
[USG. A-ipsec-policy-isakmp-mapl -10] quit 

Setp8 ”将 两 个 IPSec ZERKA E tunnel 接口 上 。 
[USG_A] interface Tunnel 0 
[USG_A- Tunnel 0] ipsec policy map1 
[USG . A- Tunnel 0] quit 

配置 防火 墙 B. 

Setp 9 < 防火 墙 B 的 配置 与 防火 墙 A 类 似 。 

[USG_B| interface GigabitEthernet 0/0/1 


[USG. B-GigabitEthernet0/0/1] ip address 10.3.1.1 24 
[USG. B-GigabitEthernet0/0/1] quit 





[USG B] interface GigabitEthernet 0/0/0 
[USG. B-GigabitEthernet0/0/0] ip address 192.168.1.1 24 
[USG. B-GigabitEthernet0/0/0] quit 


[USG B] firewall zone untrust 
[USG B-zone-untrust] add interface GigabitEthernet 0/0/1 
[USG B-zone-untrust] quit 
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[USG B| firewall packet-filter default permit interzone untrust trust 
[USG B] ip route-static 0.0.0.0 0.0.0.0 10.3.1.2 


[USG B] acl 3000 

[USG. B-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 

192.168.0.0 0.0.0.255 

[USG B-acl-adv-3000] quit 
# IPsec 提议 和 IKE 提议 均 采 用 默认 参数 设置 。 

[USG B] ipsec proposal tranl 

[USG. B-ipsec-proposal-tranl | quit 

[USG B] ike proposal 10 

[USG B-ike-proposal-10] quit . 
# 防火 墙 上 指定 对 并 地 址 时 ， 需 要 指定 防火 增 tunnel 接口 地 址 。 

[USG B] ike peer a 

[USG B-ike-peer-a] remote-address 1.1.1.1 Ç 

[USG_B-ike-peer-a] ike-proposal 10 

[USG_B-ike-peer-a] pre-shared-key huawei 

[USG_B-ike-peer-a] quit 





[USG_B] ipsec policy map1 10 isakmp 

[USG. B-ipsec-policy-isakmp-map1-10] security acl 3000 
[USG. B-ipsec-policy-isakmp-map1l -10] proposal tranl 
[USG B-ipsec-policy-isakmp-map]l -10] ike-peer a 

[USG. B-ipsec-policy-isakmp-mapl -10] quit 


[USG B] interface GigabitEthernet 0/0/1 
[USG B-GigabitEthernet0/0/1] ipsec policy mapl 
[USG. B-GigabitEthernet0/0/1] quit 


HUE I B 


Setp 10 Æ HEMANTA IP 地址， 并 配置 OSPF 通过 各 接口 直 连 网 段 ， 保 证 三 
台 路 由 器 之 间 路 由 可 达 即 可 。 具 体 步 又 省 略 。 
[Router A] ospf 100 
[Router A-ospf-100] area 0 
[Router A-ospf-100-area-0.0.0.0] network 10.1.1.0 0.0.0.255 
[Router A-ospf-100-area-0.0.0.0] network 10.2.1.0 0.0.0.255 
[Router A-ospf-100-area-0.0.0.0] quit 
[Router A-ospf-100] quit 











[Router B] ospf 100 
[Router B-ospf-100] area 0 
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[Router B-ospf-100-area-0.0.0.0] network 10.1.2.0 0.0.0.255 
[Router B-ospf-100-area-0.0.0.0] network 10.2.2.0 0.0.0.255 
[Router B-ospf-100-area-0.0.0.0] quit 

[Router B-ospf-100] quit 


[Router C] ospf 100 

[Router C-ospf-100] area 0 

[Router C-ospf-100-area-0.0.0.0] network 10.2.1.0 0.0.0.255 
[Router C-ospf-100-area-0.0.0.0] network 10.3.1.0 0.0.0.255 
[Router C-ospf-100-area-0.0.0.0] network 10.2.2.0 0.0.0.255 
[Router C-ospf-100-area-0.0.0.0] quit 


[Router C-ospf-100] quit . 
验证 结果 Ç 
1. 检查 从 PC1 E£ Gr fi pine 38 PC2， 如 能 pingi, TED; kiz display ike sa 和 display 
ipsec sa 命令 ， 奉 看 是 否 已 经 成 功 建立 IPSec 隧道 


2. AA ARES A HUE B EC down 掉 时 ， IPSec 隧道 否 还 可 以 正常 建立 。 








6.4 主 备 链 路 备份 IPSec YPN 实验 











实验 目的 

(EH IP Link 功能 结合 IPSeceSPN 组 网 环境 完成 IPSec 主 备 链 路 备份 ,提高 系统 可 靠 性 。 
组 网 设备 

PC 机 2 台 , <USG 系列 防火 墙 2 台 ， 路 由 器 /三 层 交 换 机 3 &. 
实验 拓扑 图 
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实验 步 又 (命令 行 ) 
配置 防火 场 A。 
Setp 1 配置 各 接口 IP 地 址 并 加 入 安全 区 域 
[USG A|Jinterface GigabitEthernet 0/0/1 


[USG. A-GigabitEthernet0/0/1 ip address 10.1.1.1 24 
[USG. A-GigabitEthernet0/0/1 |quit 


[USG A|Jinterface GigabitEthernet 0/0/2 
[USG. A- GigabitEthernet 0/0/2]ip address 10.1.2.1 24 
[USG. A- GigabitEthernet 0/0/2 ]quit 


[USG A|firewall zone untrust 

[USG. A-zone-untrust]|add interface GigabitEthernet 0/0/1 
[USG. A-zone-untrust]|add interface GigabitEthernet 0/0/2 X 
[USG_A-zone-untrust]quit 


Setp2 ”配置 域 则 安全 转发 策略 。 





[USG_A lfirewall packet-filter default permit interzone trust untrust 


Setp3 ”定义 保护 数据 流 。 由 于 需要 将 IPSec 安全 策略 分 别 应 用 到 USGA 的 两 个 接口 上 ， 
因此 需要 配置 两 条 ACL， 但 其 内 容 s 一 致 4 

[USG A]acl 3000 

[USG. A-acl-adv-3000]rule permit ip source 192.168.0.0 0.0.0.255 destination 
192.168.1.0 0.0.0.255 

[USG A]acl 3001 

[USG. A-àcl-adv-3001 ]rule permit ip source 192.168.0.0 0.0.0.255 destination 
192.168.1.0 0.0.0.255 


Setp4 配置 IPSec 安全 提议 和 IKE 安全 提议 。 使 用 默认 参数 进行 配置 。 





[USG_A lipsec proposal tran1 
[USG. A-ipsec-proposal-tran] ]quit 
[USG_Alike proposal 10 
[USG. A-ike-proposal-10]quit 

Setp5 MiA IKE peer. 
[USG A]ike peer b 
[USG. A-ike-peer-b [ike-proposal 10 
[USG. A-ike-peer-b]remote-address 10.3.1.1 
[USG. A-ike-peer-b]pre-shared-key huawei 
[USG. A-ike-peer-b]|quit 


Setp6 创建 IPSec 安全 策略 mapl. 
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[USG_Alipsec policy map1 10 isakmp 

[USG A-ipsec-policy-isakmp-mapl -10]proposal tran1 
[USG. A-ipsec-policy-isakmp-mapl -10]security acl 3000 
[USG. A-ipsec-policy-isakmp-mapl -10]ike-peer b 

[USG. A-ipsec-policy-isakmp-mapl -10]quit 


Setp 7 创建 IPSec 安全 策略 map2. 


[USG_Alipsec policy map2 10 isakmp 

[USG A-ipsec-policy-isakmp-mapl -10]proposal tran1 
[USG. A-ipsec-policy-isakmp-map]l -10]security acl 3001 
[USG. A-ipsec-policy-isakmp-mapl -10]ike-peer b 

[USG. A-ipsec-policy-isakmp-mapl -10]quit 


Setp8 KAA IPSec 安全 策略 分 别 应 用 到 接口 上 。 


[USG_Alinterface GigabitEthernet 0/0/1 
[USG. A-GigabitEthernet0/0/1]ipsec policy mapl X 
[USG. A-GigabitEthernet0/0/1 |quit 


[USG Alinterface GigabitEthernet 0/0/2 
[USG. A- GigabitEthernet 0/0/2]ipsec policy map2 
[USG. A- GigabitEthernet 0/0/2]quit 


Setp9 配置 IP-Link 检测 远 端 链 路 情况 。 


[USG A] ip-link check enable 
[USG A] ip-link 1 destination 10.2.1.2 mode icmp 
[USG A] ip-link 2 destination 10.2.2.2 mode icmp 


[USG-A Jip route-static 0.0.0.0 0.0.0.0 10.1.1.2 track ip-link 1 
[USG Aljip route-static 0.0.0.0 0.0.0.0 10.1.2.2 preference 70 track ip-link 2 
配置 防火 墙 B。 
Setp\10\ 防火 场 B 的 配置 与 防火 场 A 类 似 。 区 别 在 于 由 于 防火 墙 A 可 以 由 两 个 接口 发 起 
IPSec 隧道， 因此 需要 在 防火 场 B 上 采用 IPSec 策略 模板 方式 进行 IPSec 配置 。 
[USG_B] interface GigabitEthernet 0/0/1 
[USG. B-GigabitEthernet0/0/1] ip address 10.3.1.1 24 
[USG. B-GigabitEthernet0/0/1] quit 














[USG B] interface GigabitEthernet 0/0/0 
[USG. B-GigabitEthernet0/0/0] ip address 192.168.1.1 24 
[USG. B-GigabitEthernet0/0/0] quit 


[USG B] firewall zone untrust 
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[USG B-zone-untrust] add interface GigabitEthernet 0/0/1 
[USG B-zone-untrust] quit 


[USG B| firewall packet-filter default permit interzone untrust trust 
[USG B] ip route-static 0.0.0.0 0.0.0.0 10.3.1.2 


[USG B] acl 3000 

[USG. B-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 
192.168.0.0 0.0.0.255 

[USG. B-acl-adv-3000] quit 


[USG B] ipsec proposal tran1 . 
[USG. B-ipsec-proposal-tranl | quit 

[USG B] ike proposal 10 

[USG B-ike-proposal-10] quit k 


[USG_B] ike peer a 

[USG_B-ike-peer-a] pre-shared-key huawei 
[USG_B-ike-peer-a] ike-proposal 10 
[USG_B-ike-peer-a] quit 


[USG_B] ipsec policy-template map_temp 1 

[USG. B-ipsec-policy-template-map. temp-1] security acl 3000 
[USG B-ipsec-policy-template-map. temp-1] proposal tranl 
[USG B-ipsec-policy-template-map. temp-1] ike-peer a 

[USG. B-ipsec-policy-template-map. temp-1] quit 


[USG B]ipsec policy map1 10 isakmp template map temp 


[USG_B] interface GigabitEthernet 0/0/1 
[USG. B-GigabitEthernet0/0/1] ipsec policy mapl 
[USG. B-GigabitEthernet0/0/1] quit 


配置 三 从 路 由 器 。 


Setp 11 在 路 由 器 上 配置 好 各 接口 IP 地 址 ， 并 配置 OSPF 通过 各 接口 直 连 网 段 ， 保 证 三 
台 路 由 器 之 间 路 由 可 达 即 可 。 具 体 步 又 省 略 。 
[Router A] ospf 100 
[Router A-ospf-100] area 0 
[Router A-ospf-100-area-0.0.0.0] network 10.1.1.0 0.0.0.255 
[Router A-ospf-100-area-0.0.0.0] network 10.2.1.0 0.0.0.255 
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[Router A-ospf-100-area-0.0.0.0] quit 
[Router A-ospf-100] quit 


[Router B] ospf 100 

[Router B-ospf-100] area 0 

[Router B-ospf-100-area-0.0.0.0] network 10.1.2.0 0.0.0.255 
[Router B-ospf-100-area-0.0.0.0] network 10.2.2.0 0.0.0.255 
[Router B-ospf-100-area-0.0.0.0] quit 

[Router B-ospf-100] quit 


[Router C] ospf 100 

[Router C-ospf-100] area 0 ° 
[Router_C-ospf-100-area-0.0.0.0] network 10.2.1.0 0.0.0.255 

[Router C-ospf-100-area-0.0.0.0] network 10.3.1.0 0.0.0.255 

[Router C-ospf-100-area-0.0.0.0] network 10.2.2.0 0.0.0.255 «f 

[Router C-ospf-100-area-0.0.0.0] quit 

[Router C-ospf-100] quit 


WUER 


1. 检查 从 PCI 是 否 能 pingit PC2， 如 能 ping 3B, 在 防火 墙 上 运行 display ike sa 和 display 
ipsec sa 命令 ， 奏 看 是 否 已 经 成 功 建立 IPSeQ 障 道 。 
2. 查看 当 路 由 器 A 接口 down fil], TPSec 隧道 是 否 还 可 以 正常 建立 。 


6.5 设备 元 余 IPSec VPN 实 验 











实验 目的 
在 双 机 热 备 组 网 的 环境 下 配置 IPSec VPN, fi IPSec VPN 做 到 设备 宛 余 备份 。 
组 网 设备 


PC 机 2 台 ，USG 系列 防火 墙 3 台 ， 交 换 机 2 E. 
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实验 拓扑 图 
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实验 步 又 (命令 行 ) 
Setpl ”完成 双 机 热 备 基 本 配置 。( 以 主 用 防火 墙 A MESA, AUK B 与 防火 墙 
A 类 似 ， 此 处 省 略 。) 
[USG A|Jinterface GigabitEthernet 0/0/0 
[USG. A-GigabitEthernet0/0/0]IP address 10.100.10.2 24 
[USG. A-GigabitEthernet0/0/0O|vrrp vrid.1 virtual-ip 10.100.10.1 24 master 
[USG. A-GigabitEthernet0/0/0 |quit 
[USG A|Jinterface GigabitEthernet 0/0/1 
[USG. A-GigabitEthernet0/0/] Jip address 10.100.30.2 24 
[USG. A-GigabitEthernet0/0/1 |vrrp vrid 2 virtual-ip 10.100.30.1 24 master 
[USG. A-GigabitEthernet0/0/1 |quit 
[USG A|firewall zone trust 
[USG.-A-zone-trust|add interface GigabitEthernet 0/0/0 
[USG A-zone-trust]quit 
[USG A|firewall zone untrust 
[USG A-zone-untrust]add interface GigabitEthernet 0/0/1 
[USG. A-zone-untrust]quit 





[USG_A lfirewall packet-filter default permit interzone trust untrust 
[USG_A lfirewall packet-filter default permit interzone local dmz 
# 在 本 例 中 ， 使 用 vlanif 接口 作为 心跳 口 。 
[USG Al|vlan 1 
[USG  A-vlan-1 ]port Ethernet 2/0/1 
[USG A-vlan-1]quit 
[USG A|]interface Vlanif 1 
[USG. A-Vlanifl]ip address 10.100.20.2 24 
[USG A|firewall zone dmz 
[USG A-zone-dmz]add interface Vlanif 
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[USG_Alhrp interface vlanif 1 remote 10.100.20.3 
[USG_A lhrp enable 
Setp 2 ”配置 防火 墙 A 和 防火 墙 B 的 IPSec VPN 相关 参数 。 (此 处 以 A 为 例 ， 防 火 墙 B 
的 配置 与 A 一 致 。) 
HRP M[USG Alacl 3001 
HRP M[USG. A-acl-adv-3001 Jrule permit ip source 10.100.10.0 0.0.0.255 
destination 10.100.40.0 0.0.0.255 
HRP M[USG. A-acl-adv-3001 ]quit 
HRP M[USG A|ip route-static 10.100.40.0 255.255.255.0 10.100.30.10 


HRP M[USG A|ipsec proposal tran1 
HRP M[USG. A-ipsec-proposal-tranl |quit 


HRP M[USG Alike proposal 10 
HRP M[USG. A-ike-proposal-10]quit X 


HRP M[USG A|ike peer b 

HRP M[USG. A-ike-peer-b ]ike-proposal 10 

HRP M[USG A-ike-peer-b]remote-address 10.100.30.10 
HRP M[USG A-ike-peer-b]pre-shared-key abcde 

HRP M[USG A-ike-peer-b]quit 


HRP M[USG A|ipsec policy mapl 10 isakmp 

HRP M[USG. A-ipsec-policy-isakmp-map1-10]security acl 3001 
HRP M[USG -A-ipsec-policy-isakmp-mapl -10]proposal tran1 
HRP M[USG. A-ipsec-policy-isakmp-map1 -10]ike-peer b 

HRP M[USG. A-ipsec-policy-isakmp-map1 -10]quit 


HRP M[USG A|interface GigabitEthernet 0/0/1 

HRP M[USG. A-GigabitEthernetO/0/1 Jipsec policy map1 

HRP M[USG. A-GigabitEthernet0/0/1 ]quit 

说 明 : 

防火 场 B 为 备用 设备 ，IPSec 安全 策略 可 以 从 主 用 设备 备份 到 备用 设备 ， 但 是 
必须 手工 将 策略 应 用 到 接口 。 

HRP S[USG Blinterface GigabitEthernet 0/0/1 

HRP S[USG. B-GigabitEthernet0/0/1 Jipsec policy mapl 

HRP S[USG B-GigabitEthernet0/0/1 |quit 


Setp3 在 主 用 和 备用 设备 上 均 开 始 ike dpd 功能 。 TH A AO 9038 10s。 确 保障 道 的 连通 。 


HRP M[USG Alike dpd on-demand 10 
说 明 
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主 设 备 和 隧道 对 病 设 备 上 都 需 开 局 IKE DPD 功能 。 开 启 后 ， 主 备 设备 进行 切 
MIT, 隧道 对 新 设备 (USG_C) 能 够 快速 感知 ， 并 与 备用 设备 进行 隧道 协商 。 
指定 on-demand 参数 ， 表 示 DPD 工作 在 流量 触发 模式 ， 目 上 次 流量 结束 时 刻 
算 起 ， 如 果 在 DPD 检测 时 间 间 隅 内 隧道 中 没有 流量 ， 则 只 有 在 有 发 送 流 量 时 
FZR DPD RL, H. DPD 检测 时 间 从 零 重 新 计算 。 否 则 隧道 中 不 会 有 DPD 
报 文 。 

Setp4 ”配置 防火 增 C 的 IPSec HRR. 


Setp5 防火 场 C 的 IPSec 配置 与 A 和 B 类 似 , 唯 一 的 区 列 在 于 配置 防火 墙 C BJ IKE peer 
I, maX m JJ TRAE 73 Be 30.06 03 2H. vrrp 2 的 虚拟 IP 地 址 。 
[USG Cl]ike peer a 
[USG. C-ike-peer-b]ike-proposal 10 
[USG  C-ike-peer-b]remote-address 10.100.30.1 
[USG C-ike-peer-b]pre-shared-key abcde 
[USG. C-ike-peer-b]quit 











验证 结果 


从 PC1 持续 ping PC2， 观 察 当 防火 墙 A 接口 down Pal, PC1 与 PC2 的 连接 情况 。 


6.6 L2TP Over IPSec 实验 





实验 目的 

掌握 L2TP over IPSEC 组 网 的 配置 
组 网 设备 

PC ÈLA USG 5000 系列 防火 墙 1 台 ， 三 层 交 换 机 1 6 
实验 拓扑 图 


GE0/0/0 
10.0.0.1/24 


GEO/0/1 _ 









VPN Client LNS Internal PC 
202.2.2.2/24 10.0.0.2/24 


Untrust Trust 


VPN client 直接 使 用 secpoint % mL L2TP+IPSEC 的 连接 。 
USG A 的 外 网 IP 地 址 为 固定 地 址 。 
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实验 步 又 (命令 行 ) 
Setp1 整体 网 络 搭建 。 配置 各 接口 IP 地址 并 开放 域 间 安 全 转发 策略 ,使 路 由 可 达 。 CR. 
体 步 骤 省 略 。) 
Setp2 防火 场 A 配 置 L2TP 功能 
# 创建 对 端 接 口 分 配 IP 的 地 址 池 。 
[USG A]aaa 
[USG. A-aaa] ip pool 1 1.1.1.10 1.1.1.20 
[USG. A-aaa] local-user vpdnuser password cipher Hello123 
[USG. A-aaa] quit 
# 创建 虚拟 接口 模板 。 配置 PPP 认证 方式 。 配置 为 对 端 接 口 分 配 IP. 地 址 池 中 的 地 
址 。 
[USG A] interface Virtual- Template 1 
[USG. A-Virtual-Templatel] ip address 1.1.1.1 24 
[USG. A-Virtual-Template1] ppp authentication-mode chap K 











[USG_A-Virtual-Template1] remote address pool 1 
[USG_A-Virtual-Templatel | quit 
配置 虚拟 接口 模板 的 IP 地 址 为 LNS 侧 的 必 配 项 对 于 PPP 连接 而 言 ,这 个 地 址 和 
对 问 地 址 没有 任何 关系 。 
此 处 引用 的 地 址 池 写 要 与 AAA 视图 下 的 相对 应 。 否 则 LNS 无 法 为 PCB 分 配 地 
址 。 
# 配置 虚拟 接口 模板 加 入 安全 区 域 。 
[USG_A] firewall zone trust 
[USG. A-zone-trust] add interface Virtual- Template 1 
虚拟 接口 模板 可 以 加 入 LNS 的 任 一 安全 区 域 ， 但 为 LNS 侧 的 必 配 项 。 
# 使 能 L2TP TJ fb 
[USG: A] 12tp enable 
# 配置 L2TP 组 。 
[USG A] Dtp-group 1 
[USG. A-Dtpl ] allow l2tp virtual-template 1 
[USG. A-Dtpl1] tunnel authentication 
[USG. A-Dtpl1] tunnel password cipher Huawei123 
[USG. A-I2tpl1] tunnel name Ins 
[USG. A-Dtpl] quit 
MERHER BL EM. 


[USG A| firewall packet-filter default permit interzone local untrust 














[USG A] firewall packet-filter default permit interzone local trust 


由 于 LNS 需要 给 PC 分 配 卫 地 址 ,此 时 不 能 配置 确切 的 ACL 及 域 间 规则 。 同 时 ， 
需要 打开 local 和 untrust 域 间 的 缺 省 过 小 规则 。 


Setp 3 Wk A 上 定义 用 于 触及 建立 IPSEC SA haii 
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Setp 4 


Setp 5 


Setp6 


Setp7 


Setp 8 





[USG A]acl 3000 
[USG. A-acl-adv-3000] rule permit udp source 202.2.2.1 0 source-port eq 1701 
[USG A-acl-adv-3000]quit 
# 配置 域 间 包 过 滤 规 则 
对 于 untrust 与 trust 域 间 包 过 滤 规 则 ， 由 于 使 用 了 L2TP over IPSEC 配置 ， 故 不 存在 
直接 的 trust 与 untrust 的 直接 通信 ,LAC 与 LNS 的 域 间 通信 的 顺序 为 : 
trust-local-untrust-local-trust， 故 可 以 不 配置 trust 与 untrust 之 间 的 包 过 滤 规 则 . 


配置 untrust 与 local, trust 与 local 的 域 间 包 过 滤 规 则 需要 使 用 默认 放 开 , 在 L2TP 中 
OMS. 
防火 墙 A 配置 IPSec 安全 提议 
# 创建 名 为 tranl 的 IPSec 提议 。 
[USG_A lIPSec proposal tranl Ó 
[USG_A-IPSec-proposal-tran1 |transform esp 








[USG_A-IPSec-proposal-tranl lencapsulation-mode tunnel 

[USG. A-IPSec-proposal-tranl lesp authentication-algorithm må5 
[USG. A-IPSec-proposal-tranl Jesp encryption-algorithm des 
[USG. A-IPSec-proposal-tranl |quit 


防火 墙 A 配置 IKE 提议 。 


[USG A] ike proposal 10 
[USG. A-ike-proposal-10] authentication-method pre-share 





[USG. A-ike-proposal-10] authentication-algorithm shal 
[USG. A-ike-proposal-10] sa duration 86400 
[USG. A-ike-proposal-10].quit 


防火 墙 A 配置 IKE Peer 





[USG A] ike peer lac 
[USG -A-ike-peer-lac] ike-proposal 10 
[USG A-ike-peer-lac] pre-shared-key huawei 
[USG. A-ike-peer-lac] exchange-mode aggressive 
验证 字 的 配置 需要 与 对 端 设备 相同 。 
防火 墙 A 配置 安全 策略 模板 
[USG A] IPSec policy-template mapltmp 10 
[USG. A-IPSec-policy-templet-mapltmp-10] ike-peer lac 





[USG. A-IPSec-policy-templet-mapltmp-10] proposal tranl 
[USG. A-IPSec-policy-templet-map1tmp-10] security acl 3000 
[USG. A-IPSec-policy-templet-mapl1tmp-10] quit 

# BEERE, HI SERIES 
[USG. AJIPSec policy mapl 10 isakmp template mapltmp 


防火 墙 A 5| Hd ZERE 
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[USG A] interface GigabitEthernet 0/0/1 
[USG A-Ethernet1/0/0] IPSec policy map1 


Setp9 VPN Client 配置 。 


新 建 连接 向 导 


第 一 步 : VERETEBIRB TTE. 


(通过 导 六 本 罩 女 件 创建 连接 (n) 


Sra PET IE] S 
第 二 步 : VEPHLACHOGRIRED. 


HUAWEI 


LNHS 服 邯 器 地 址 已 ): un. D. D. 1 


TREE P D: pcb 


A RR AT: | 
| 了 分 存 用 记名 和 容 码 后) 


“上 一 步 (E) 下 一 步 > sub (E) | REB (C) | 





HUAWEI 构建 安全 网 络 架 构 工程 师 培训 上 机 指导 书 





MEHE IRI 


第 三 步 : AAA LT RE 


HREAN M] : lac 
LAETA S, (A): CHAP "| 
局 用 隆 道 粒 证 功能 (E) 


Eu uS d TO: [kkk 


启用 IFSEC 安 全 协 说 (S) 
”了 预 共 享 密 钥 (RO OC AFEA (USBKey) 


FEEF: jkk 


《上 一 步 邓 | Trw ateo | BB | 


MEHE IRI 


第 四 步 : AAAI eca 


"P v 
HUAVVE 


O PAES. ARASHI) 


一 一 一 一 一 


《< 上 一 步 i) 完成 全) | | HD | 
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MEHE IRI 


第 五 步 : VERA LS ecm 


IPSec RE IHRE 


封装 模式 代 ): Bisa t E | 协商 模式 M]: 
IDEM (T): 


3e phis (R): ESP E 
ESFERA ERIA (A): DE "| 验证 算法 上 
ESPECIE REI (E) : [DES "| memi [mEs-CEC =| 


HATE E (S): + EH Tm DH 组 标志 (D): Group 1 WBS = | 


s e 73] 下 一 步 E Tub E) | REB (C) | 
AHE E F 


Fa zF: 新 建 注 接 完 成 。 


—- 


HUAWE 


MEET VPHIESEBHEBBRIS , $EÓADQU: REER l 


《上 一 步 o [ro] sem | | meo | 





实验 步骤 (Web) 


Setp1 配置 接口 IP 地 址 并 将 各 接口 加 入 安全 区 域 ， 开 放 域 间 包 过 滤 末 略 。 (具体 步 又 
ci. ) 


Setp2 创建 aaa 用 户 账 号 。 
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确认 密码 
RIPE 
信任 主机 #1 
密码 有 效 期 
用 户 有 效 时 间 设置 
起 始 时 间 
结束 时 间 
-D es 


vpdnuser E 


(1-16 个 字符 ) 
河 提 升 窗 凤 实 至 性 ， mREEXGERBREOEEREU PREROBDI: 
hh- =a-z= zx(-.0-, EREET tein! 35375753 ; 
且 密 码 - 椒 能 与 用 户 或 者 用 户 的 倒序 相同 。 


|= 


eamm 


v] 
Ə 


|=0-999>( Æ) 


























Setp 3 ”启用 L2TP VPN 功能 。 


V VPN > L2TP 5 








Setp4 ”创建 虚拟 接口 模板 。 
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I£ VPN > L2TP > L2TP 5 


isis d 
对 端 隧道 名 称 
隧道 密码 认证 
隧道 密码 200000020 
确认 隧道 密码 ssasecssa 
HFH default 
地 新 建 36 muss C3 mg 
HP ZH BEEIP 


第 1 mit 1 页 | A 


— Hr debo S 





Mp S5 s HE 


= — m 


TEHER P955 255 255 0 
Haik HEt 
地 址 地 结束 IF 








Setp5 创建 IKE 协商 第 一 阶段 。 
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í VPN » IPSec ^ IKE 协 商 > 


版 本 (vV Di (æ) V1 and V2 
协商 模式 


EH D 
预 共 享 密 钥 I 

Ais I2 BO ELT =. JEE aiim Pao 
Aim Pd VP NSECER] public 

Ais PTS IP 

Ais CES ER] 

VPNSEEBI 



































Setp6 ”创建 IKE 协商 第 二 阶段 。 


VPN > IPSec > IKE 协 商 > 


*=<4-10000> 























Setp7 MH IPSec $I. 选择“VPN > IPSec > IPSec 策略 ”。 单 击 “ 新 建 "。 在 “新 建 IPSec 
策略 ”界面 中 ， 选 择 数 据 流 配 置 方式 为 L2TP over IPSec。 单 击 “ 应 用 ”。 


IPSec 第 略 map1-10 [v] 
SH SEG Er 21 =, 中 指定 数据 流 (e) L2TP over IPSec 


| EH | | 返回 | 





Setp8 将 IPSec 策略 与 接口 绑 定 ， 选择 “VPN > IPSec > IPSec 策略 ”。 单 击 “map1” 后 的 
“MHIO: -NONE -”。 在 下 拉 列 表 中 选择 GE0/0/1。 单 击 “ 应 用 ”。 
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- VPN > IPSec > IPSec > 


IPSec 十 略 列 表 
中 新 建 36 删除 Cd mim | 请 输 六 IPSec 策略 名 称 


mu 目的 地 址 
日 mapi 应 用 接口 : GEQ/0/1 (2 Items) 
any 
配置 应 用 的 接口 


any 


€ 1 
[es GE0/0/1| 





验证 结果 
PCB 使 用 VPN Client 发 起 访问 ,之 后 PCA 与 PCB 之 间 可 以 相生 访问 。 
在 防火 墙 上 查看 IKESA, IPSec SA 以 及 L2TP 隧道 建立 情况 。 
[USG_Aldis ike sa 
11:31:32 2013/11/20 


current ike sa number: 2 





conn-id peer flag phase vpn 
40006 202.2.282 RD vl:2 public 
40005 20% 2722 RD vl:1 public 


flag meaning 
RD--READY ST-STAYALIVE RL--REPLACED FD--FADING 
TO--TIMEOUT TD--DELETING | NEG--NEGOTIATING D-——DPD 
[USG Adis ipsec sa 
11:31:26 2013/11/20 


Interface: GigabitEthernetO/0/1 
path MTU: 1500 


IPsec policy name: "mapl" 
sequence number: 10 


mode: template 
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vpn: public 
connection id: 40006 
rule number: 4294967295 
encapsulation mode: tunnel 
holding time: Od Oh Om 31s 
tunnel local : 202.2.2.1 tunnel remote: 202.2.2.2 
flow source: 202.2.2.1/255.255.255.255 17/1701 
flow destination: 202.2.2.2/255.255.255.255 17/7327 


[inbound ESP SAs] 
spi: 2186095877 (0x824d2d05) . 
vpn: public said: 0. cpuid: 0x0000 
proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 
sa remaining key duration (bytes/sec): 1887424871/3569, f 
max received sequence-number: 102 


udp encapsulation used for nat traversal: N 


[outbound ESP SAs] 
spi: 2230748273 (0x84f68471) 
vpn: public said: 1 cpuid; 0x0000 
proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 
sa remaining key duration (bytes/sec): 1887435336/3569 
max sent sequence-number: 23 
udp encapsulation used for nat traversal: N 
[USG A]dis D2tp tunnel 
11:32:55. 2013/11/20 
Total tunnel = 1 
LocalTID RemoteTID RemoteAddress Port — Sessions RemoteName 
1 1 202222 1527 Sel Ins 


6.7 双 机 热 备 SSL VPN 实 验 


实验 目的 
在 双 机 热 备 的 组 网 环境 下 完成 SSL VPN 的 功能 配置 。 使 SSL VPN 能 做 到 设备 元 余 ， 提 


高 可 靠 性 。 
组 网 设备 


PC 机 2 人 台 ，USG 系列 防火 墙 2 台 ， 交 换 机 2 E. 
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实验 拓扑 图 








GE 0/0/1 
10.100.30.2/24 


GE 0/0/1 






Vlanif 1 


PCI 10.100.20.3/24! 


10.100.10.2/24 
Vrrp group 1 
10.100.10.1/24 GE 0/0/1 
10.100.10.2/24 


PC2 
Vrrp group 2 10.100.30.10/24 
10.100.30.1/24 







BINE GE 0/0/1 
eme 10.100.30.2/24 


USG B 


实验 步骤 (Web) 
Setp1 配置 各 接口 IP 地 址 并 将 其 加 入 相应 安全 区 域 。 (具体 步 又 和 省略) 
Setp 2 配置 从 trust 区 域 到 untrust 区 域 的 域 间 安全 转发 策略 。 


LL E AN ` 


转发 策略 列表 
中 新 建 3€ ms 器 清 除 全 部 命中 次 数 QD USE || any zone -LPi one Q sa | 国 高 级 查询 
ID 源 地 址 目的 地 址 ”用 有 — 服务 时 间 息 动作 
Gl untrust-»trust 
EALA, any = Y « div f i permit 
[z] trust-»untrust 


permit 





Setp 3 ”修改 本 地 转发 策略 ， 人 允许 DMZ 区 域 与 local 区 域 进行 通信 。 使 双 机 热 备 心跳 口 
可 以 互联 。 


LEA PES SHAE > 
rao ipi 


ise D e 
iH 


BE ss 
Fig] Ez 
动作 permit 
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Setp 4 ”完成 双 机 热 备 基本 配置 。( 以 主 用 防火 墙 A 配置 为 例 ， 备 用 防火 墙 BB 与 防火 墙 
A 类 似 ， 此 处 省 略 。) 
# 配置 Yrrp 备份 组 。 
ELLE 1 MIME > 
AVRID 


VRRP VRID 1 *21-255> 


接口 名 称  GEO/0/0 bl | ESME | 


TL IPH HEHEA 





pEIPHUUETERS 410 | 100 10 1 |+ |255 255 255 0 








管理 组 (e Active ( ) Standby 

















S 高 可 靠 性 mHE > 


ud 


VRRP VRID 2 2957 
接口 省 称 GE0/0/1 M^ | === | 
接口 IF 地 址 腌 码 


<“ az s 


Ee IP Hich HER 10 | 100 0 4 |:* |255 255 255 0 








管理 组 (e) Active ( 2 Standby 





























4 将 Ethernet 2/0/1 OJIA VLAN 1 并 配置 Ylanif 1 接口 。 
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e M> 接口 EDO 


接口 名 称 vlanif1 
HER VLAN 
VPN2EBI public 
me |: Fb 


VL AN ID *=<=4-4094= 
接口 成 员 [mhi 


EL | 


'FE2/0/0- |-| pm | FE2/011 
FE2/0/2 I 


FE2/0/3 
FE2/0/4 Ej 




















(e) BRSIP (O DHCP C) PPPoE 
10 100 20 2 


255 255 255 0 





H 启用 HRP 备份 功能 。 并 将 vlanif 接口 作为 心跳 口 。 


I 所 ”系统 s LEAN ` 


配置 双 机 热 备 i N : 


| HRP 启动 HRPE: —— Acte 主 组 状态 : 
HRP$ 51858 vlanif1 Wu [| * 对 请 IF 地 址 | 10 — 100 20 .3 | 状态 : peerdown 


-p 高 级 














用 | B 


Setp5 ”创建 虚拟 网 关 SSL_VPN_VG。 此 处 虚拟 网 关 地 址 需 配 置 为 verp 备份 组 2 的 虚拟 
IP 地址。 





I£ VPN > SSLVPN > 虚拟 网 关 管 理 


ERRA SSL VPN VG * FE AFE PAS 1150F 

EPE 

IP 地 址 10 . 100, 30. 1 [| 这 加 中 地 址 

pestl F] 2: Eb = ES : ww company. comb B), vti. company.com HEM j; www company. comaa 
HTTP 重 定向 O 启用 HTTFP 重 定向 服务 

fg GERHPS 1~100， 默 认 当 系 六 限额 (系统 限额 : 100, 当前 剩余 可 用 并 发 用 户 数 : 100) 

ig HPSZI 5 * 11000, $514 A GRÉREREN : 1000, SAIMAA AAP 1000) 

量 大 资源 数 | * 11024, 默认 汶 1 GREREREN : 1024, 当前 剩 作 可 用 资源 激 : 1024) 


应 用 | | 返回 | 





Setp6 Æ PCI 上 创建 一 个 web server. UE. SSL VPN web 代理 功能 。 
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WebTtRÉ 


Webi TR 
BFBwwepfexhge 


ir E webserver * 163 个 字符 ， 一 个 党 宇 占 6 个 字符 

门户 链接 

URL http.⁄40.100.10.2 * 4-1277 FFE , =s: http://weww.abc.com 
预 解析 域名 O 自动 预 解析 

资源 措 术 | | Tar 字符 ,一 个 汉字 占 6 个 字符 

资源 蛤 


| EB || EE Ç 


Setp7 配置 VPNDB 用 户 。 创 建新 用 户 CTestuser/123456) 。 X 








Á- VPN > SSLVPN > 虚拟 网 关 列 表 > 











C3 mH ISTE a IH ~ 
CJ ssl vpn vg HP Testuser 
o 风纪 如 将 sn 
Dom E TEn 
o LAUETSESBOE +|) 
4 UID 
o REALA Q - 
a VPHDBBEEET » e E 
| or B 
E ^an QN 虚拟 IP 地 址 
验证 结果 
在 PC2 的 浏览 器 中 输入 https://10.100.30.1 ,使 用 配置 的 VPNDB 用 户 名 及 密码 登陆 SSL 
VPN: 


观察 当 防 火 墙 A 的 端口 断 掉 连接 是 ，PC2 对 SSL VPN 的 访问 是 否 正 常 。 并 查看 防火 墙 
双 机 热 备 切换 状态 。 
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d 


7 防火 墙 攻击 防范 实验 


7.1 搭建 攻击 测试 环境 
实验 目的 
安装 SEAL 攻击 软件 。 
组 网 设备 
一 台 Windos 32 位 主机 
实验 拓扑 图 
略 
配置 步骤 
Setp 1 双击 Seal 安装 文件 ， 开 始 安装 Seal. 
dj SEALVLOS Setup 师 o bekes 


Welcome to the SEAL V1.0.5 Setup 
Wizard 


Sacomrty UL A TR MIT. PT: 


This wizard will guide you through the installation of SEAL 
V1.0.5. 


It is recommended that you close all other applications 
before starting Setup. This will make it possible to update 
relevant system files without having to reboot your 
computer, 


Click Next to continue. 








Setp 2 安装 所 有 的 Seal HF. 
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à sen vios ses E 


Choose which features of SEAL V1.0. 5 you want to install. A 





Check the components you want to install and uncheck the components you don't want to 


install. Click Mext to continue. 
Select components to install: sum 
; Position your mouse 
SEAL Agent aver a component to 
vcredist x36 2008 see its description, 
Space required: 269,2MB 





SEAL: dedicate to establish a professional platFarm Far test tools 


Setp 3 ”指定 安装 目录 ， 点 击 安装 Install 按钮 。 ç 


i 





Choose the folder in which to install SEAL V 1.0.5. 










FaN 


Setup will install SEAL V1.0.5 in the i . To install in a different folder, click 
to start the installation. 





SEAL: dedicate to establish a praFessianal platform For test tools 


Setp4 完成 安装 Seal， 并 局 动 Seal 程序 。 
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} SEAL V1.0.5 = 


4 3 


G=. Completing the SEAL V1.0.5 Setup 
C aiia | Wizard 


ETT 1 TY. NM TU 


SEAL V1.0.5 has been installed on your computer. 


Click Finish to close this wizard. 


Run SEAL V1.0.5 




















Setp 5 ”启动 Seal UY, MYUnzh. TEJHABPEEUT ARI Sea 程序 目录 ， 点 击 
SEALAgent, 启 动 Agent， 然 后 在 点 击 Seal 启动 Seal 程序 。 


k SEAL 
Ip SEAL 
A SEALAgent 
Uninstall 
VPNAge 





Setp 6 启动 Sea 程序 后 ， 进 入 license 认证 页 面 。Seal 需要 安装 License 才 可 使 用 。 有 
俩 种 方法 可 以 激活 License: 

e 输入 华为 员工 W3 账号 和 密码 ， 并 点 击 OK。 此 时 保证 PC 连接 华为 公司 内 
网 ， 方 可 认证 成 功 。 

€ 导入 License 文件 ， 并 点 击 OK。 此 时 方式 需要 收集 本 PC 的 ESN， 并 填写 
至 指定 电子 流 中 (http://3ms.huawei.com/hi/group/6349 )， 可 自动 获取 
License 文件 。 由 于 电子 法 在 研 友 环境 ， 必 须 委托 研发 同事 代为 在 电子 流 
中 申请 。 
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Setp7 


Setp8 Fu S 页 面 ， 完 成 初始 化 配置 。 
D 点 击 设备 管理 ， 在 Devicelist 处 添加 Add Device 


S 


cense Authenticatic 


完成 License 的 操作 后 ， 添 加 相应 的 组 件 。 


Attacker 用 于 模拟 DDos 攻击 。 NS 
AppReplay 用 于 模拟 入 侵 攻 击 。 


DHH Ape I 


Test Case 





on and Anr 





The tool provides two authentication modes.  Pleaze select one of them for 
authentication. 


Hetwork &uthentication |Lieenze File Authentication 


Please enter the username and password of w3. huawei. com website. In 
addition, you need to enture that the tool normally communicates with 
the support. huawei. com website for the convenience of the web 


Account: 


Password: 





+ 


9? 





KOS 


rary(SEAL Attacke 






N 


nDasHHIAsFbum gage- 
IE 


DeviceList Config 





DeviceHame: | 








DeviceIP: | 








Porti | 





Speed Mode: Send Delay 


 ——aP l 
ecurity Evaluation Assurance Library(SEAL) - Attacker 





Speed: L ^ 
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2) ”输入 主机 IP 地 址 为 127.0.0.1 (固定 本 机 环 回 地 址 ， ， 并 点 击 Bind。 


3) ”选择 使 用 的 网 卡 〈 可 以 通过 IP 地 址 判断 具体 的 网 卡 )， 并 选择 Apply, JF 
点 击 OK。 完 成 初始 化 配置 。 


dd Devicelist — 
DeviceList Config 


EC devical 








DeviceHame: | devicel 
DezviceIP: (127.0.0.1 


porti 


AH 3z|[ü0:FF:3F:CD:13:5B 0.0.0.0 
AEk [|00:24: ES: A9: E9 EF 10. TT. 232.104 


7.2 DHCP Snooping K Ç 
实验 目的 


DHCP Server 仿冒 者 攻击 
中 间 人 攻击 与 IP/MAC Spoofing 攻击 
改变 CHADDR 值 的 Dos 攻击 

组 网 设备 


PCI 台 、DHCP Server 1 台 、USG5000 防火 墙 1 & 
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实验 拓扑 图 


Figure 7-1 设备 上 应 用 DHCP Snooping 典型 组 网 图 示 













L3 


DHCP relay network 


Er C 
| Trusted 






L2 
network 


P NL 


a” II" 
s à 
P^ User network ^". 
E] 
r E i Y 
L| i 
1 一 = jJ 
^ N = 
* a 
k. a 
k=. o o š 


组 网 需求 : 


如 图 所 示 , DHCP Snooping 的 作用 就 如 同 在 <Client fll DHCP Server 之 间 建 立 的 一 道 防 
火 墙 。 

DHCP Snooping 是 一 种 DHCP 安 售 特性， 通过 MAC 地 址 限制 DHCP Snooping 安全 
绑 定 、IP + MAC 绑 定 、Qption82 特性 等 功能 过 滤 不 信任 的 DHCP 消息 ， 解 决 了 设备 
应 用 DHCP 时 过 到 DHCPYDoS 攻击 、DHCP Server 仿冒 攻击 、ARP 中 间 人 攻击 及 
IP/MAC Spoofing 改 击 的 问题 。 








配置 步 又 
Setp IN 将 接口 加 入 安全 区 域 ， 并 配置 域 间 包 过 滤 ， 以 保证 网 络 基本 通信 正常 
Setp2 MÆ DHCP Relay 基本 功能 


# 配置 接口 GigabitEthernet 0/0/2 接口 地 址 

<USG5000> system-view 

[USG] sysname DHCP-Relay 

[DHCP-Relay] interface GigabitEthernet 0/0/2 
[DHCP-Relay-GigabitEthernet0/0/2] ip address 100.1.1.1 24 
[DHCP-Relay-GigabitEthernet0/0/2] quit 

# 配 置 要 实现 DHCP 中 继 功能 接口 

[DHCP-Relay] interface GigabitEthernet 0/0/1 
[DHCP-Relay-GigabitEthernet0/0/1] ip address 10.1.1.254 24 
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[DHCP-Relay-GigabitEthernet0/0/1] dhcp select relay 
[DHCP-Relay-GigabitEthernet0/0/1] ip relay address 100.1.1.2 
[DHCP-Relay-GigabitEthernet0/0/1] quit 


Setp3 ”开启 DHCP Snooping 功能 


# 局 用 全 局 和 接口 DHCP Snooping 功能 

[DHCP-Relay] dhcp snooping enable 

[DHCP-Relay] interface GigabitEthernet 0/0/1 
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping enable 
[DHCP-Relay-GigabitEthernet0/0/1] quit 

[DHCP-Relay] interface GigabitEthernet 0/0/2 
[DHCP-Relay-GigabitEthernet0/0/2] dhcp snooping enable . 


Setp4 lii E Trusted 接口 


ifi E. DHCP Server 侧 接 口 为 “Trusted>” 


[DHCP-Relay-GigabitEthernet0/0/2] dhcp snooping trusted 
[DHCP-Relay-GigabitEthernet0/0/2] quit 

说 明 : DHCP Clinet 侧 所 有 接口 开启 DHCP snoopitig CHI HJ P? M [L A Bo B 
“Trusted” 模 式 ， 那 么 开启 了 接口 的 Snooping 特性 后 ， 接 口 模式 默认 为 
“Untrusted”)， 这 样 可 以 防止 DHCP Server 仿冒 者 攻击 。 








Setp5 配置 对 特定 报 文 检查 和 DHCP Snooping 绑 定 表 


# 配 置 在 DHCP Clinet 侧 接口 进行 ARP JR CHI IP 报 文 检查 
[DHCP-Relay] interface GigabitEthernet 0/0/1 
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping check arp enable 
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping check ip enable 


uli E fc-DHCP Clinet 侧 接口 进行 DHCP Request 报 文 检查 
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping check dhcp-request enable 

# 了 配置 在 DHCP Clinet 侧 接口 进行 CHADDR fS: ft 
[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping check dhcp-chaddr enable 

# 配置 静态 绑 定 表 项 

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping bind-table static ip-address 


10.1.1.1 mac-address 00e0-fc5e-008a 
[DHCP-Relay-GigabitEthernet0/0/1] quit 


Setp6 配置 DHCP 上 送 速率 限制 
# 配置 DHCP 上 送 速率 检查 


[DHCP-Relay] dhcp snooping check dhcp-rate 90 
[DHCP-Relay] dhcp snooping check dhcp-rate enable 








Setp7 配置 Option82 
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Setp 8 





# 配置 DHCP 报 文 中 携带 接口 信息 

[DHCP-Relay] interface GigabitEthernet 0/0/1 
[DHCP-Relay-GigabitEthernet0/0/1] dhcp option82 insert enable 
[DHCP-Relay-GigabitEthernet0/0/1] quit 
配置 对 没有 表 项 报 文 的 转发 行为 

# 配置 对 全 局 ARP 报 文 和 和 IP 报 文 转发 行为 

[DHCP-Relay] dhcp snooping nomatch-packet arp action discard 





[DHCP-Relay] dhcp snooping nomatch-packet ip action discard 

# 配置 对 接口 ARP RLM IP jÉ X 3 T 73 

[DHCP-Relay] interface GigabitEthernet 0/0/1 

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping nomatch-packet arp action 
discard 

[DHCP-Relay-GigabitEthernet0/0/1] dhcp snooping nomatch-packet ip action 
discard X 


结果 检查 





# 查看 全 局 和 接口 视图 下 DHCP Snooping 功能 状态 
[DHCP-Relay] display dhcp snooping global 
dhcp snooping enable 
dhcp snooping nomatch-packet ip action discard 
dhcp snooping nomatch-packet arp action discard 
dhcp snooping check dhep-rate enable 
dhcp snooping check dhep-rate alarm enable 
dhcp snooping check dhcp-rate 90 
dhcp snooping check dhcp-rate alarm threshold 40 


4 fripDHCP Snooping 绑 定 表 表 项 信息 





[DHCP-Relay] display dhcp snooping bind-table static 


bind-table: 

ifname vrf vsi p/cvlan | mac-address ip-address tp lease 
GEO0/0/1 0000 - 0000/0000 00e0-fc5e-008a 10.1.1.1 S 0 
binditem count: 1 binditem total count: 1 


# 显示 接口 上 DHCP Snooping 相关 信息 

[DHCP-Relay] display dhcp snooping interface GigabitEthernet 0/0/1 
dhcp snooping enable 
dhcp snooping check arp enable 
dhcp snooping alarm arp enable 


dhcp snooping alarm arp threshold 10 
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dhcp snooping nomatch-packet arp action discard 
dhcp snooping check ip enable 

dhcp snooping nomatch-packet ip action discard 
dhcp snooping alarm dhcp-reply enable 

dhcp snooping alarm dhcp-reply threshold 10 
dhcp snooping check dhcp-chaddr enable 

dhcp snooping alarm dhcp-chaddr enable 

dhcp snooping alarm dhcp-chaddr threshold 10 
dhcp snooping check dhcp-request enable 

dhcp snooping alarm dhcp-request enable 


dhcp snooping alarm dhcp-request threshold 10 


arp total 0 

ip total 0 

dhcp-request total 0 

chaddr&src mac total 0 & 
dhcp-reply total 0 


[DHCP-Relay] display dhcp option$82 interface GigabitEthernet 0/0/1 
dhcp option82 insert enable 
[DHCP-Relay] display dhcp snooping interface GigabitEthernet 0/0/2 


dhcp snooping enable 
dhcp snooping trusted 
arp total 
ip total 
dhcp-request total 0 
chaddr&src mac total 0 
dhcp-reply total 0 
Xd 
7.3 基于 IP 地 址 的 SYN Flood 攻 击 防范 功能 
实验 目的 
TREAST IP 地 址 的 SYN Flood 攻击 防范 功能 典型 组 网 和 配置 方法 。 
组 网 设备 


PC2 台 、USG 5000 系列 防火 墙 1 台 、Netfire 软件 。 
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实验 拓扑 图 
Figure 7-2 基于 IP 地 址 的 SYN Flood 攻击 防范 实验 组 网 图 示 
GEQ/0/1 a š GEO/0/0 
10.1.1.1/24 Papa 2.2.3.1/16 £28 
Trust E i 
PC | 
10.1.1.2/24 Internet 





PC 


1.1.1.2/24 ` 


USG5000 统一 安全 网 关 的 以 太 网 接口 GigabitEthernet 0/0/0 连接 外 部 网 络 , (以太 网 接口 
GigabitEthernet 0/0/1 连接 内 部 网 络 。 需 要 隔离 外 部 恶意 用 户 对 内 部 IP 地 址 为 10.1.1.2 的 PC 
的 SYN Flood 攻击 行为 。 Ç 


配置 步骤 (命令 行 ) 
Setp1 完成 统一 安全 网 关 基 本 配置 。 
# 进入 系统 视图 。 
<USG5000> system-view 
# 进入 GigabitEthernet 0/0/0 JE], 
[USG5000] interface GigabitEthernet 0/0/0 
4 配置 GigabitEthernet 0/0/0 T] IP 地 址 。 
[USG5000-GigabitEthernet0/0/0] ip address 2.2.3.1 16 
# 退回 系统 视图 、 
[USG5000-GigabitEthernet0/0/0] quit 
# HX GigabitEthernet 0/0/1 视图 。 
[USG5000] interface GigabitEthernet 0/0/1 
# 配置 GigabitEthernet 0/0/1 BJ IP 地 址 。 
[USG5000-GigabitEthernet0/0/1] ip address 10.1.1.1 24 
# 退回 系统 视图 。 
[USG5000-GigabitEthernet0/0/1] quit 
# 进入 Trust 安全 区 域 视 图 。 
[USG5000] firewall zone trust 
4 配置 GigabitEthernet 0/0/1 加 入 Trust 安全 区 域 。 
[USG5000-zone-trust] add interface GigabitEthernet 0/0/1 
# 退回 系统 视图 。 
[USG5000-zone-trust] quit 
# 进入 Untrust 安全 区 域 视 图 。 


Untrust 
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[USG5000] firewall zone untrust 

4 配置 GigabitEthernet 0/0/0 加 入 Untrust 安全 区 域 。 
[USG5000-zone-untrust] add interface GigabitEthernet 0/0/0 
# 退回 系统 视图 。 

[USG5000-zone-untrust] quit 

# 配置 到 达 1.1.1.0 网 段 的 下 一 跳 路 由 。 

[USG5000] ip route-static 1.1.1.0 24 2.2.2.1 


|a XE 
AN. 


需要 配置 USG5000 到 达 外 部 特定 PC 和 Router 的 静态 路 由 。 否 则 USGS000 收 
到 外 部 PC 的 报 文 后 ， 由 于 无 法 查 到 路 由 表 而 丢弃 该 报 文 ， 导 致 业务 不 通 。 


LL] ug. 

需要 在 Router 上 配置 静态 路 由 。 此 处 不 再 效 述 。 

Setp 2 ”配置 域 则 防火 墙 全 上 略 。 
# 在 Trust 和 Untrust 域 则 配置 防火 墙 策略 。 
[USG5000] policy interzone trust untrust inbound 
[USG5000-policy-interzone-trust-untrust-inbound ].poliey 1 
[USG5000-policy-interzone-trust-untrust-inbound-1 ] policy source 1.1.1.0 0.0.0.255 
[USG5000-policy-interzone-trust-untrust-inbound-1] action permit 


[USG5000-policy-interzone-trust-untrust-inbound-1] quit 
[USG5000-policy-interzone-trust-untrust-inbound] quit 


Setp 3 ”完成 需求 配置 。 
# 启用 SYN Flood 攻击 防范 功能 。 
[USG5000] firewall defend syn-flood enable 


# 配置 对 服务 器 10.1.1.2 进行 SYN Flood 攻击 防范 ， 配 置 SYN 报 文 的 最 大 连接 
速率 为 500 个 / 秒 ， 局 动 TCP 代理 。 


[USG5000]firewall defend syn-flood interface GigabitEthernet0/0/0 alert-rate 500 
max-rate 500 tcp-proxy on 


Setp4 通过 Sear 发 起 攻击 流量 。 


# 打开 Sear 测试 软件 的 Attacker 测试 模块 ， 在 右 侧 的 Test Template 中 ， 双 击 选 
择 SynFlood。 这 是 看 到 左 侧 Test Case 出 现 了 Synflood 测试 项 目 。 
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Security Evaluation Assurance Library(SEAL) - Attacker 


(3 | d : : z 
Attacker AppReplay 
Dockbar License SEAL 


w Authentication Option 


Speed Mode: Send Delay 









Speed:L ' 














Source IP IP Number Source Port 
1.1.129.32 100 10000 - 10100 


© Fixed Source IP Random Source Port 
(€) Increased Source IP 
© Random Source IP 




















Target IP Target Port ld Mode Initial Value Step 


88.888 80 11111 1 A 


«| m D 


itSelect Agent 绑 定 使 用 的 物理 网 卡 ， 依 次 选择 Port1， 然 后 选择 Bind， 然 后 选择 ,全 
合适 的 网 卡 ， 然 后 Apply， 最 后 选择 OK 按钮 。 Y 


































4 








Case Content 











Select Agent 


Config ~ 
. < N 


Devi e: |devicel 











iceIP: [127.0.0.1 








#Case Content 是 测试 参数 , 填写 相应 的 测试 参数 , 主要 是 源 IP. 真实 的 目的 IP, 
其 他 保持 默认 即 可 》 2E: 目的 IP 地 址 应 该 为 真实 的 目的 IP 地 址 ， 否 则 将 会 发 
送 全 下 的 广播 包 。 或 者 将 Automatic Get Next HOP MAC 取消 勺 选 ， 填 写 任 意 的 
Mac HHEN — 


"ESTATI tg ge- NF Speed Mode: Send Delay Speed: L Qu 





SelectAgent ”device1(127.0.0.1):port1( 本 地 连接 |00:24:E8:A9:E9:EF 10.77.232.104) 


Base Config Param 
Source IP IP Number Source Port 
1.1.129.32 100 10000 - 10100 
© Fixed Source IP Random Source Port 
(9) Increased Source IP 


© Random Source IP 








Target IP Target Port Id Mode Initial Value 
88888 80 11111 


Next Hop MAC 


FF-FF-FF-FF-FF-FF | Automatic Get Next Hop MAC 


« | " 


# 最 后 选择 开始 按钮 ， 并 通过 请 动 条 ， 调 整 攻 击 报 文 的 速度 。 
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|» n mg "goe-iuiz2 Speed Mode: Send Delay 


Case Content | SynFlood Introduction 
Select Agent  device1 (127.0.0.1):port1 (431511: |00:24:E8:A9:E9-EF 10.77.232.104) 

















Base Config Param 
Source IP IP Number Source Port 
1.1.129.32 100 10000 - 10100 E 


© Fixed Source IP [| Random Source Port 
© Increased Source IP 
O Random Source IP 





配置 步骤 (Web) 
Setp1 完成 统一 安全 网 关 基 本 配置 。 (Hó) 
Setp2 MARIAKR. (M) 1 
Setp 3 ”完成 需求 配置 。 
# 启用 SYN Flood 攻击 防范 功能 。 








* 系统 
AN 攻击 防范 配置 列表 配置 SYN Flood 攻 击 防范 2. 
LER S 攻击 防范 类 型 防范 功能 
ts OE TCP 最 太 报 文 段 长 度 1480 <100-1460> 字 节 
[] 安全 策略 o SYN Flood Qo SHRRTERISYN FloodBri: Bi: T CP (SHBTORE : 而 网 络 中 设备 接口 存在 较 小 MTU 时 ， miS 
í TOP RARR HS JH T MTU(B s 5DERTCPISCIGHESEERHSIS RDA MOTORLAR 
o RESI 2 He plaer 会 受到 景 向 。 
o 本 地 第 略 o ICMP Flood 
S RARR o ARP Flood 
[Eg NAT C3 应 用 层 ^ 一 
Q 安全 防护 o SIP Flood 7 Brem ‘推荐 配置 ) ”基于 TCP 代 理 (OARA) 
I 
mas s 2 dos ` mm 


# 配置 对 服务 器 10.1.1.2 进行 SYN Flood 攻击 防范 ， 配 置 SYN 报 文 的 最 大 连接 
速率 为 500 个 / 秒 ， 启 动 TCP* 代 理 。 


安全 防护 > 攻击 防范 > 






e 防火 墙 > 






”全 局 配置 基于 代理 接口 的 SYN Flood 攻 击 防范 配置 





攻击 防范 配置 列表 


D J 攻击 防范 类 型 <N 
5 cy 
~ e SYN Flogo 
~ e UDP. Flood 
[| o od 
o ARF ü 





接口 
BERE 500 <1-1000000> 包 种 
最 大 速率 500 <1-1000000> 包 种 
TCP 代 理 状 态 关闭 




















< = 5 用 车 | 
| EL e ŽP Flood ”基于 源 探 出 《推荐 配置 ) 基于 TCP 代 理 (OARA) 
N Bs ui an 基于 代理 接口 防范 列表 
h — e Connection Floo 
- odes &gz Qi 
- e 畏 形 报 文 类 接口 [11-4 BARE TCPfGHHAZS 配置 
L e 特殊 报 文 控制 类 GE0/0/0 500 500 自动 (2 
L E GEQ/0n1 500 500 自动 Ei 
攻击 报 文 处 理 方式 Serial4/0/0 500 500 自动 Ë? 











Setp4 通过 Sear 发 起 攻击 流量 。 ( 略 ) 


ARM 
€ SYN Flood 攻防 配置 前 ,被 攻击 P C 接受 流量 明显 增加 , C P U 占用 率 增 加 , SYN 
Flood 攻防 配置 后 ， 被 攻击 PC 流量 及 CPU 恢复 正常。 
€ SYN Flood 攻防 配置 前 , 防火 墙 存 在 大 量 TCP SYN 半 连 接 会 话 ，TTLS £^, SYN 
Flood 攻防 配置 后 ，TCP SYN 半 连 接 会 话 无 法 建立 。 
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€ SYN Flood 攻防 配置 后 ， 防 火场 打印 SYN Flood 攻击 日 志 。 
e SYN Flood 攻防 配置 后 ， 查 看 防火 墙 丢 包 统 计 ， 存 在 大 量 TCP SYN 报 文 丢 弃 。 


7.4 TCP 反 问 源 探测 方式 的 SYN FloodJ it; Dj yt. 












实验 目的 
了 解 TCP 反 向 源 探 测 方式 的 SYN Flood 攻击 防范 典型 组 网 和 配置 方法 。 
组 网 设备 
PC2 台 、USG 5000 系列 防火 墙 1 台 、Netfire 软件 
实验 拓扑 图 | 
Figure 7-3 TCP 反 向 源 探 测 方式 SYN Flood 攻击 防范 实验 组 网 图 示 
X 
Switch | 
GEQO/0/2 | 
20.1.1.1 USG 
具体 需求 如 下 、 


e “USG5000 通过 接口 GigabitEthernet 0/0/1 和 GigabitEthernet 0/0/2 Ej Switch 连接 。 
Untrust 区 域 访问 Trust 区 域 的 报 文 经 过 USG5000 处 理 后 转发 至 Trust 区 域 ，Trust 
区 域 的 应 答 报 文 直接 通过 Switch 发 送 至 Untrust 区 域 。 


e 要求 配置 TCP 反 辣 源 探 测 ， 对 到 达 防 火 墙 的 TCP SYN 报 文 进行 反 同 探 测 , 确定 源 
IP 地 址 为 正确 的 IP 地 址 后 才 人 允许 报 文通 过 ， 并 配置 源 IP 监控 表 的 老化 时 间 为 600 
秒 。 
配置 步 又 (命令 行 ) 


Setp 1 完成 USG5000 的 基本 配置 。 
LL] 说 明 : 


此 配置 中 只 列 出 了 与 TCP 反 向 源 探测 相关 的 步骤 。 
# 配置 接口 GigabitEthernet 0/0/1 的 IP 地 址 。 
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<USG5000> system-view 

[USG5000] interface GigabitEthernet 0/0/1 
[USG5000-GigabitEthernetO/0/1] ip address 10.1.1.1 24 
[USG5000-GigabitEthernet0/0/1] quit 

4 配置 接口 GigabitEthernet 0/0/2 的 IP 地 址 。 


[USG5000] interface GigabitEthernet 0/0/2 
[USG5000-GigabitEthernet0/0/2] ip address 20.1.1.1 24 
[USG5000-GigabitEthernet0/0/2] quit 


# 将 接口 GigabitEthernet 0/0/1 加 入 Trust 区 域 。 


[USG5000] firewall zone trust 
[USG5000-zone-trust] add interface GigabitEthernet 0/0/1 
[USG5000-zone-trust] quit 


# 将 接口 GigabitEthernet 0/0/2 加 入 Untrust X E}. 


[USG5000] firewall zone untrust Ç 
[USG5000-zone-untrust] add interface GigabitEthernet 0/0/2 
[USG5000-zone-untrust] quit 


Setp2 MEAP K Ra AERE 
4 在 Trust 和 Untrust HREJ iG E DJ K ha 8 Hë 
[USG5000] policy interzone trust untrust inbound 





[USG5000-policy-interzone-trust-untrust-inbound] policy 1 
[USG5000-policy-interzone-trust-untrust-inbound-1] action permit 
[USG5000-policy-interzone-trust-untrust-inbound-1] quit 
[USG5000-policy-interzone-trust-untrust-inbound] quit 

Setp3 配置 TCP 反问 源 探 测 。 
# 在 攻击 报 文 的 入 接口 上 配置 TCP 反 辣 源 探测 ， 最 大 速率 为 3000 包 / 秒 。 
[USG5000] firewall source-ip detect interface GigabitEthernet 0/0/0 max-rate 3000 
# 配置 源 IP 监控 表 老 化 时 间 为 600 秒 。 
[USG5000] firewall source-ip detect aging-time 600 








Setp4 通过 Sear 发 起 攻击 流量 。 


# 打开 Sear 测试 软件 的 Attacker 测试 模块 ， 在 右 侧 的 Test Template 中 ， 双 击 选 
F$ SynFlood。 这 是 看 到 左 侧 Test Case 出 现 了 Synflood 测试 项 目 。 
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DN mm 


Security Evaluation Assurance Library(SEAL) - Attacker 











Ee 













































Source IP IP Number Source Port 
1.1.129.32 100 10000 - 10100 


© Fixed Source IP [E] Random Source Port 
(9 Increased Source IP 
© Random Source IP 














Target IP Target Port Id Mode Initial Value Step 


88.888 80 11111 1 E 


«| m + 




















#Select Agent 绑 定 使 用 的 物理 网 卡 ， 依 次 选择 Port1， 然 后 选择 Bind, iu d 


合适 的 网 卡 ， 然 后 Apply， 





最 后 选择 OK 按钮 。 





n 





DeviceList 


- À devicel 














Devi ceIP 0.0.1 
<< | 一 一 
小 


#Case Content 是 测试 参数 ,+ 真 写 相应 的 测试 参数 , 主要 是 源 IP, 真实 的 目的 IP, 
其 他 保持 默认 即 可 。 注 : 目的 IP 地 址 应 该 为 真实 的 目的 IP 地址， 否则 将 会 发 
SE FAN 播 包 
Mae Jh iE. 



















。 或 者 将 Automatic Get Next HOP MAC Ale, JE 5RR 





Speed Mode: Send Delay Speed:L ÜH 


IP Number Source Port 
100 10000 - 10100 


© Fixed Source IP [E] Random Source Port 
(9) Increased Source IP 
© Random Source IP 
























Target IP Target Port Initial Value 
8.8.8.88 80 Increased ~| 11111 1 









Next Hop MAC 
|FF-FF-FF-FF-FF-FF | Automatic Get Next Hop MAC 


« | " + 











# 最 后 选择 开始 按钮 ， 并 通过 滑动 条 ， 调 整 攻击 报 文 的 速度 。 
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COT m 时 ge- UF Speed Mode: Send Delay 


Case Content | SynFlood Introduction | 




















SynFlood SelectAgent device1(127.0.0.1):port1( 本 地 连接 |00:24:E8:A9:E9:EF 10.77.232.104) 
Base Config Param 
Source IP IP Number Source Port 
1.1.129.32 100 10000 - 10100 











© Fixed Source IP | | Random Source Port 
© Increased Source IP 





O Random Source IP 


配置 步骤 (Web) 

Setp1 完成 USG5000 的 基本 配置 。 (M) 
Setp 2 ”配置 域 间 防 火 墙 策 略 。 (HA) 
Setp3 WE TCP 反 向 源 探测 。 


# 在 攻击 报 文 的 入 接口 G0/0/0 上 配置 TCP RERI, 2ER 1600 &/ 
秒 ， 最 大 速率 为 3000 包 / 秒 。 


# 配置 源 卫 监控 表 老 化 时 间 为 600. 


e Pda o 安全 防护 攻击 防范 > 


攻击 防范 配置 列表 RESYN Flood 攻 击 防范 CN ' 
= 与 攻击 防范 类 型 


= Cu TCP 最 大 报 文 段 长 度 1460 E100-1460= 字 节 


9 SYN Flood » 使 当 设备 开启 SYN FloodErchB5 S TCPRGIÉEXURE. mpeg ris gHEDIEEBUNMTURT. iEn 
— e UDP Flood TCP 最 大 报 文 段 长 度 值 小 于 wRI 值 ;如果 TCP 最 大 报 文 段 长 度 设置 过 大 ， 部 分 TCP 北 务 可 能 


会 爱 到 影响 。 


o ICMP Flood 

o ARP Flood 
国 = 应 用 层 PR * 

C BIS EIDU ETERA (EERI — 基于 TCP 代 理 (TARE 


x 
o HTTP Flood As scii a mis Q gir 周全 局 设置 
1 


o Connection Flood 
o 扫 指 类 新 建 基 于 源 探 璋 的 SYN Flood 攻 击 防范 配置 
o 随 形 报 文 类 GEQIOIO 
— e 特殊 报 文 控制 类 
^^ 


AN S 16000 «1-1000000» 81h 
攻击 报 文 处 理 方式 尺 


500000 «1-1000000» mph 





z: M 





Setp 4 “通过 Sear 发 起 攻击 流量 。 


ARM 
€ SYN Flood 攻防 配置 前 ,被 攻击 PC 接受 流量 明显 增加 , C PU 占用 率 增加 , SYN 
Flood 攻防 配置 后 ， 被 攻击 PC 流量 及 C PU 恢复 正常。 


e SYN Flood 攻防 配置 前 , 防火 墙 存 在 大 量 TCP SYN 半 连 接 会 话 ，TTLS 秒 ，SYN 
Flood 攻防 配置 后 ，TCP SYN 半 连 接 会 话 无 法 建立 。 


SYN Flood 攻防 配置 后 ， 防 火场 打印 SYN Flood 攻击 日 志 。 
e SYN Flood 攻防 配置 后 ， 查 看 防火 墙 丢 包 统 计 ， 存 在 大 量 TCP SYN TRX ER. 
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7.5 基于 接口 的 ARP Flood 攻 击 防 范 




















实验 目的 
了 解 基于 接口 的 ARP Flood 攻击 防范 典型 组 网 和 配置 方法 。 
组 网 设备 
主机 2 台 、USG5000 系列 防火 墙 1 台 、Netfire 软件 
实验 拓扑 图 
Figure 7-4 基于 接口 的 ARP Flood 攻击 防范 实验 组 网 图 示 
GEO/0H . GE0/0/0 
r= 10.1.1.1/24 2.2.3.1/16 pe 
L M- x Internet MN- 
DNS Server Ms PC 
10.1.1.2/24 USG ANI 2/24 
组 网 需求 


e 统一 安全 网 关 的 以 太 网 接口 GigabitEthernet 0/0/0 四 接 外 部 网 络 ， 以 太 网 接口 
GigabitEthernet 0/0/1 连接 内 部 网 络 。 


e 需要 隔离 外 部 恶意 用 户 对 接口 GigabitEthernet 0/0/0 的 ARP Flood 攻击 行为 。 
配置 步骤 (命令 行 ) 
Setp1 统一 安全 网 关 基 本 配置 。 
# [HUE GigabitEthernet 070/0 的 IP 地 址 。 
<USG5000> system-view 
[USG5000] interface GigabitEthernet 0/0/0 


[USG5000-GigabitEthernet0/0/0] ip address 2.2.3.1 16 
[USG5000-GigabitEthernet0/0/0] quit 

#. HUE GigabitEthernet 0/0/1 的 IP 地 址 。 
[USG5000] interface GigabitEthernet 0/0/1 
[USG5000-GigabitEthernetO/0/1] ip address 10.1.1.1 24 
[USG5000-GigabitEthernet0/0/1] quit 

4 配置 GigabitEthernet 0/0/1 加 入 Trust 区 域 。 
[USG5000] firewall zone trust 
[USG5000-zone-trust] add interface GigabitEthernet 0/0/1 
[USG5000-zone-trust] quit 

4 配置 GigabitEthernet 0/0/0 加 入 Untrust 区 域 。 
[USG5000] firewall zone untrust 
[USG5000-zone-untrust] add interface GigabitEthernet 0/0/0 
[USG5000-zone-untrust] quit 
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# 配置 到 达 1.1.1.0 网 段 的 静态 路 由 ， 此 处 假设 下 一 跳 为 2.2.2.1。 

[USG5000] ip route-static 1.1.1.0 24 2.2.2.1 
Setp2 MARHE SR ç 

4 在 Trust 和 Untrust 域 间 配 置 防火 墙 策 略 。 
[USG5000] policy interzone trust untrust inbound 
[USG5000-policy-interzone-trust-untrust-inbound] policy 1 
[USG5000-policy-interzone-trust-untrust-inbound-1] policy source 1.1.1.0 0.0.0.255 
[USG5000-policy-interzone-trust-untrust-inbound-1] action permit 


[USG5000-policy-interzone-trust-untrust-inbound-1] quit 
[USG5000-policy-interzone-trust-untrust-inbound] quit 


Setp 3 ”需求 配置 。 
# 启用 ARP Flood 攻击 防范 。 


[USG5000] firewall defend arp-flood enable 


# 打开 接口 GigabitEthernet 0/0/0 的 ARP Flood Xs pr xh aeneo 并 配置 接口 的 
ARP Flood 攻击 防范 报 文 速 雍 上 限 国 值 为 500 包 / 秒 。 


[USG5000] firewall defend arp-flood interface GigabitEthernet 0/0/0 max-rate 500 
Setp4 通过 Sear 发 起 攻击 流量 。 


# 打开 Sear 测试 软件 的 Attacker 测试 模块 $ 在 右 侧 的 Test Template 中 ， 双 击 选 
择 SynFlood。 这 是 看 到 左 侧 Test Case-t3 / Synflood 测试 项 目 。 
0E UE wCer»ums Y ae- 1⁄1 2; V N Speed Mode: Send Delay Speed: L n | 


Case Content | ArpReplyFlood Introduction | 
ArpReplyFlood 








Test Template 


z- Traditional Attacks 
3 Flood 






Test Case | 


TA ArpReplFlood 1 





AckFlood 

Select Agent Select ArpR ood E 

= ArpRequestFlood 

| DnsFloodServer(simula 

Base config Para DnsQueryFlood 

! i DnsQueryFlood. v6 

Doce Dec Heer DnsReplyFlood 

Sender Ip: 16.66.55 DnsReplyFlood v6 
EvilBladeHttpFlood 


Target Begin |p: 16.6.6.66 Target End Ip: 16.6.6.100 | 
HttpConnectionFlo: 





HttpGetFlood. v6 

| HttpPostFlood 

| HttpPostFlood v6 ™ 
III h 























#Select Agent 绑 定 使 用 的 物理 网 卡 ， 依 次 选择 Port1， 然 后 选择 Bind， 然 后 选择 
合适 的 网 卡 ， 然 后 Apply， 最 后 选择 OK 按钮 。 
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Config 


DeviceName: (jewicel 


DeviceIP: lar oroni 


porti 





#Case Content 是 测试 参数 , 填写 相应 的 测试 参数 , 主要 是 源 
其 他 保持 默认 即 可 。 


AANE |00:24:E8:A9:E9:EF 10.77.232. 














IP, 真实 的 目的 JP， 




















bir p ua PE b "um w m pge- H Speed Mode: Send Delay Speed. L =- Y H 
Case Content | ArpReplyFlood Introduction VA 


p, 28 
Í war F 














Base config Para 
Packet Type: Request I 49 Relyy sd 
Sender lp: 16.6.6.55 Ua 
4 > 
Target Begin Ip: 16.6.6.66 PA" Target End Ip: —16.6.6.100 





# 最 后 选择 开始 按钮 ， 并 通过 请 动 条 >》 调整 攻击 报 文 的 速度 。 


配置 步骤 (Web) 


Setpl 统一 安全 网 关 基 本 配置 3 (Ni) 
Setp 2 MARP JSR. (M) 
Setp 3 ”需求 配置 。 


# 启用 ARP Flood 攻击 防范 。 


SelectAgent ”device1(127.0.0.1):port1( 本 地 连接 |00:24:E8:A9'É9-EP 1077232. 104) 


# 打开 接口 GigabitEthernet 0/0/0 的 ARP Flood 攻击 防范 功能 开关 ， 并 配置 接口 的 


ARP Flood Jit; Jj vod scam E BR Bu [B ZJ 500 包 / 秒 。 











| 





e pde o 安全 防护 S 攻击 防范 

攻击 防范 配置 列表 | 配置 ARP Flood i; B5 33 

= es 攻击 防范 类 型 | 防范 功能 v 启用 

Bm 与 流 里 型 
应 用 

^ e SYN Flood | EB | 
— e UDP Flood 基于 接口 
| e ICMP Flood | 
— e ARP Hood » | | Faez Wis CB 别 新 区 全 局 设置 


C3 应 用 层 





— e Connection Flood 


1-2048» Bh 





o 扫描 类 
o 畏 形 报 文 类 
o 特殊 报 文 控制 类 








= 
~ o SIP Flood 
~ e HTTP Flood 


Setp4 通过 Sear 发 起 攻击 流量 。 ( 略 ) 
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结果 检查 








€  ARPFlood 攻防 配置 前 ,被 攻击 PC 接受 流量 明显 增加 ，C P U 占用 率 增 加 ，ARP 


Flood 攻防 配置 后 ， 被 攻击 PC 流量 及 C P U 恢 复 正 党 。 
€ ARP Flood 攻防 配置 后 ， 防 火 增 打 印 ARP Flood 攻击 日 志 。 
€ ARP Flood 攻防 配置 后 ， 查 看 防火 墙 丢 包 统 计 ， 存 在 大 量 ARP 报 文 丢弃 。 


7.6 配置 地 址 扫 朱 攻击 防范 功能 









实验 目的 
了 解 地 址 扫描 攻击 防范 功能 与 配置 。 
组 网 设备 
主机 2 台 、USG5000 系列 防火 墙 1 台 、Netfire 软件 
实验 拓扑 图 ^ 
Figure 7-5 地 址 扫描 攻击 防范 实验 组 网 图 示 
GEO/0/1 。 GEO/0/Q 
10.1.1.1/24 Ef 
Trust i 
PC 
10.1.1.2/24 
PC Untrust 
1.1.1.2/24 
组 网 需求 : 


USG5000N\ 的 以 太 网 接口 GigabitEthernet 0/0/1 连接 Trust 安全 区 域 ， 以 太 网 接口 


GigabitEthernet 0/0/0 连接 Untrust 域 。 需 要 保护 内 部 网 络 不 受 地 址 扫 摘 的 攻击 。 
配置 步骤 (命令 行 ) 
Setp1 完成 统一 安全 网 关 基 本 配置 。 

# 进入 系统 视图 。 

<USG5000> system-view 

# 进入 GigabitEthernet 0/0/0 视图 。 

[USG5000] interface GigabitEthernet 0/0/0 

4 配置 GigabitEthernet 0/0/0 的 IP 地 址 。 


[USG5000-GigabitEthernet0/0/0] ip address 2.2.3.1 16 
# 退回 系统 视图 。 


HUAWEI 构建 安全 网 络 架 构 工程 师 培训 上 机 指导 书 





[USG5000-GigabitEthernet0/0/0] quit 

# 进入 GigabitEthernet 0/0/1 视图 。 

[USG5000] interface GigabitEthernet 0/0/1 

4 配置 GigabitEthernet 0/0/1 BJ IP 地 址 。 
[USG5000-GigabitEthernet0/0/1] ip address 10.1.1.1 24 

# 退回 系统 视图 。 

[USG5000-GigabitEthernet0/0/1] quit 

# 进入 Trust 安全 区 域 视图 。 

[USG5000] firewall zone trust 

4 配置 GigabitEthernet 0/0/1 加 入 Trust 安全 区 域 。 
[USG5000-zone-trust] add interface GigabitEthernet 0/0/1 
# 退回 系统 视图 。 

[USG5000-zone-trust] quit Ç 
# 进入 Untrust 安全 区 域 视图 。 

[USG5000] firewall zone untrust 

4 配置 GigabitEthernet 0/0/0 加 入 Untrust 安全 区 域 ; 
[USG5000-zone-untrust] add interface GigabitEthernet 0/0/0 
# 退回 系统 视图 。 

[USG5000-zone-untrust] quit 

# 配置 到 达 1.1.1.0 PLEBS F pk rH e 

[USG5000] ip route-static 1.1.1.0 24 2.2.2.1 


QV M 
由 


需要 配置 到 达 外 部 特定 PC 和 Router 的 静态 路 由 。 人 否则 统一 安全 网 关 收 到 外 部 
PC 的 报 文 后 ， 由 于 无 法 碍 到 路 由 表 而 丢 友 该 报 文 ， 导 致 业务 不通。 





LL 说 明 ， 
需要 在 Router 上 配置 静态 路 由 。 此 处 不 再 效 述 。 

Setp 2 MAREP KHR 
# 在 Trust 和 Untrust 域 则 配置 防火 墙 策略 。 
[USG5000] policy interzone trust untrust inbound 
[USG5000-policy-interzone-trust-untrust-inbound] policy 1 
[USG5000-policy-interzone-trust-untrust-inbound-1] policy source 1.1.1.0 0.0.0.255 
[USG5000-policy-interzone-trust-untrust-inbound-1] action permit 


[USG5000-policy-interzone-trust-untrust-inbound-1] quit 
[USG5000-policy-interzone-trust-untrust-inbound] quit 
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Setp 3 ”完成 需求 配置 。 

# 局 用 黑 名 单 功 能 。 

[USG5000] firewall blacklist enable 

# 局 用 地 址 扫描 攻击 防范 功能 。 

[USG5000] firewall defend ip-sweep enable 

# 配置 地 址 扫描 攻击 防范 功能 。 

[USG5000] firewall defend ip-sweep max-rate 1000 

[USG5000] firewall defend ip-sweep blacklist-timeout 20 
Setp4 通过 Sear 发 起 攻击 流量 。 


# 打开 Sear 测试 软件 的 Attacker 测试 模块 ， 在 右 侧 的 Test Template 中 ， 双 击 选 
ff ICMPscanattack。 这 是 看 到 左 侧 Test Case 出 现 了 ICMPscanattack Jl TAGJLH 。 


























bum x pge- IF Speed Mode: Send Delay Speed:L ' UH k. 
“Case Content |IcmpScanAttack Introduction) NN ` [Testrempiste 
S- Traditional Attacks 
由 :Flood 
| E-Scan&Detect 
Select Agent |" Select | | H cmpscanAttack 
: | lempScanAttack v€ 
: : ~ IpLooseSourceRot 
Ce AN || cdpStrictSourceRout 
Source IP DestMac : : s TcpPortScan g 
10.27.XX.66 FF-FF-FF-FF-FF-FF Automatic Get Next Hôp MAC | p TepScanáttack 
Target Port Begin Address End Address | | = TcpScanAttack_v6 
IpMode 60000 10.11.XX49 — 10.11.XX.56 Circle Scan | “~ Tracert 
€ ` : | pe UdpPortScan 
Scosbos Ss | x a UdpScanAttack 
-— UdpScanAttack v6 














itSelect Agent 绑 定 使 用 的 物理 网 上 册 ， 依 次 选择 Port1， 然 后 选择 Bind， 然 后 选择 
合适 的 网 卡 ， 然 后 Apply. .最 后 选择 OK 按钮 。 





Case Content | SynFlood Introduction| N 















Config 





DeviceName: devicel 


DeviceIP: izr ao 


























#Case Content 是 测试 参数 , 填写 相应 的 测试 参数 , 主要 是 源 IP, 真实 的 目的 IP, 
其 他 保持 默认 即 可 。 


# 最 后 选择 开始 按钮 ， 并 通过 请 动 条 ， 调 整 攻击 报 文 的 速度 。 
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配置 步骤 (Web) 


Setp1 完成 统一 安全 网 关 基 本 配置 。 ( 略 ) 
Setp2 MAREP AKERE. (WE) 
Setp 3 ”完成 需求 配置 。 

# 启用 黑 名 单 功 能 。 


de 防火 墙 安全 防护 Sg 


| TSAR / 





# n Hind D q T 86 o X 
# 配置 地 址 扫描 攻击 防范 功能 。 


LESS 、 安全 防护 攻击 防范 > 


攻击 防范 配置 列表 配置 扫描 类 攻击 防范 à 
c3 攻击 防范 类 型 Jer 18 
Cy En 
a SYN Flood 
ə UDP Flood 
a ICMP Flood 


e ARP Flood x | 


C3 应 用 层 


e SIP Flood vx 


a HTTP Flodd 


ae Co ction lan 


d 


«MEA 
Zo niis 





Setp 企 、 通 过 Sear 发 起 攻击 流量 。( 略 ) 


E KS 
1. 地址 扫描 攻防 配置 前 ， 被 攻击 防火 墙 接 受 流量 明显 增加 ，C P U 占用 率 增 加 ， 
ARP Flood 攻防 配置 后 ， 被 攻击 防火 才 流 量 及 C PU 恢复 正常 。 
2. HWA. BKF E IP 扫描 攻击 日 志 。 


3. 扫描 攻防 配置 后 ， 攻 击 PC 列 入 黑 名 蛙 ， 无 法 通过 防火 增 访 问 网 络 ，timeout 时 
间 过 后 恢复 正常 访问 。 
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Ó 防火 墙 特 性 故障 排除 实验 


8.1 防火 墙 基础 特性 故障 排除 
实验 目的 


掌握 防火 墙 NAT 常见 故障 排除 ; 
掌握 防火 墙 双 机 热 备 常 见 故 障 排 除 。 
组 网 设备 X 


USG2130 防火 墙 3 €& (1 台 用 来 模拟 internet 环境 ，2 台 用 来 知 双 机 热 备 ); EX 
换 机 1 台 ;”PC2 台 (1 台 用 于 模拟 内 网 用 户 ，1 台 用 于 模拟 jinternet 用 户 )。 


实验 拓扑 图 


USG2200 A 










*.. Internet d 
PCÍ kaa G0/0/23 —.......— < » 
$3700 A 7 G0/01 $3700 B 
USG2200 B 
”电信 
— 联通 


某 企 业 为 了 实现 internet 的 可 靠 接 入 , 使 用 两 台 防 火场 USGA 和 USGB 组 成 双 机 热 备 
接 入 internet， 为 了 增加 元 余 和 实现 流程 的 分 担 ， 分 别 租用 了 电信 线路 和 联通 线路 。 电 信 
分 配 的 地 址 段 为 200.200.200.2-200.200.200.20 , HX 38 S Bü Hy Sh hb R X 
100.100.100.2-100.100.100.20 要 求 如 下 : 
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@ USGA 和 USGB 实现 双 机 热 备 ，USGA 平时 做 为 主 用 ， 当 USGA 出 现 故 障 时 能 切 
换 到 USGB 。 


e 内 网 用 户 (PC1) 通 过 NAT outbound 方式 上 网 , 平时 从 电信 和 链 路 走 ， 当 电信 和 链 路 完全 
出 现 故 障 时 ， 从 网 通 线路 访问 internet. 


e 外 网 用 户 访 问 内 网 服务 器 通过 联通 线路 走 ， 将 内 网 服务 器 通过 联通 地 址 发 布 。 
e JIP 地 址 规划 如 下 : 


— s =s E 
internet(USG2130) 


192.168.0.2/24( virtual-ip 
GO0/0/O 

192.168.0.1), P3 pj 

w 
om 200.200.2002), HB 

USGA 一 一 一 一 一 一 一 一 

p 7 
Meine 2389 

100.100.100.2) 站 联通 接口 

mm [Poen 10.0.0.1), 2A 
Ew . 

d Us EI 





192.168.0.3/24( virtual-ip 
G0/0/0 
192.168.0.1)， 内 网 
| 200.200.200.4(virtual-ip 
vlanif3(e1/0/1) w 
200.200.200.2 ), "RE EH 
100.100.100.4(virtual-ip 
G0/0/1 peu 
100.100.100.2)， 联 通 接口 
10.0.0.3(virtual-ip 10.0.0.D)， 热 
E1/0/0 N 
KN LI 








故障 排除 流程 
Setp 1 dM A ay 
€ USGA fll USGB 双 机 热 备 状态 不 正常 ， 未 能 出 现 HRP. M 提示 符 ; 
e 外 网 无 法 访问 NAT Server， 内 网 无 法 访问 internet; 
e 内 网 地 址 为 192.168.0.251 地 址 转换 后 无 法 上 网 ; 
e 双 机 热 备 切换 后 ， 导 致 nat 业务 不 通 
Setp 2 ”故障 相关 信息 收集 及 分 析 
根据 基本 故障 现象 的 描述 ， 利 用 各 种 方法 进一步 收集 相关 信息 ， 定 位 故障 。 
1、 故 障 点 : 
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2、 信 息 收 集 方法 及 命令 : 








3、 信 息 中 的 天 键 证 据 : 


Setp 3 故障 排除 流程 
请 根据 已 知 的 故障 现象 和 经 验 进行 原因 分 析 , 并 列举 每 一 故障 现象 的 可 能 原因 : 
八 故障 现象 : 








2、 原 因 列 表 : 
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3、 排 除 过 程 : 


讲师 实验 指导 建议 


Setp 1 


Setp 2 


Setp 3 


Setp 4 


分 组 建议 
由 于 本 实验 共 需 2 € USG2230， 建 议 @ 生 3 人 一 组 ， 不 要 超过 三 个 人 。 
组 长 推举 以 及 组 员 分 工 


在 分 组 之 后 ， 需 要 推举 出 一 外 组 长 来 领导 各 组 完成 实验 。 组 长 在 本 组 的 实验 过 
程 中 主要 起 一 个 牵 类 的 帮 用 ， 并 组 织 组 内 的 讨论 。 组 长 的 推举 可 以 采取 学 员 毛 
遂 目 存 的 方式 如 条 学 员 反 应 不 积极 ， 也 可 以 有 意识 的 指定 学 员 中 技术 水 平 较 
好 的 来 担任 组 长 ， 以 保证 实验 的 顺利 进行 。 在 推举 出 组 长 之 后 ， 还 可 以 引导 组 
长 对 目 忆 的 组 员 也 进行 相应 的 分 工 。 比 如 说 可 以 让 特定 的 组 员 负 责 奏 看 配置 与 
display fci: 菏 些 组 员 有 负责 实际 操作 ， 修 改 配置 ， 菏 些 组 员 负 责 记 录 故 障 点 和 
每 一 步 操作 ， 完 成 实验 报告 。 


分 组 讨论 


在 实验 的 开始 阶段 ， 讲 师 应 该 要 求 各 组 的 组 长 带领 各 组 的 组 员 先 弄 清 网 络 的 状 
况 与 要 求 ， 并 把 各 设备 上 的 配置 都 先 该 一 过 ， 这 样 才 不 会 在 后 面 的 实验 中 大 家 
都 弄 得 一 头 筋 水 。 接 下 来 可 以 让 组 长 组 织 对 故障 现象 ， 故 障 定位 和 如 何 解决 问 
题 进行 组 内 的 讨论 。 同 时 讲师 也 应 该 时 刻 关 注 各 组 的 讨论 情况 和 实验 进展 ， 并 
在 必要 的 时 候 参 与 进来 ， 把 大 家 引导 到 正确 的 思路 上 来 。 因 此 ， 在 分 组 讨论 排 
除 故 障 阶 段 ， 根 据 具体 情况 ， 可 能 会 需要 一 到 两 名 讲师 指导 实验 以 你 证 实验 效 
Ae 


各 组 总 结 


在 实验 完成 之 后 ， 可 以 请 各 组 的 组 长 分 别 对 本 组 的 实验 情况 作 一 个 经 验 总 结 ， 
包括 故障 的 定位 过 程 以 及 如 何 排除 故障 。 讲 师 在 这 个 时 候 可 以 鼓励 各 组 的 组 员 
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Setp 5 


Setp 6 


Setp 7 





只 极 的 对 组 长 的 发 言 进 行 补充 ， 讲 师 自 己 也 可 以 针对 学 员 的 总 结 进 行 一 些 点 评 
和 补充 。 

提问 

在 各 组 完成 总 结 之 后 ， 讲 师 可 以 有 针对 性 的 提 一 些 问 题 ， 以 加 深 学 员 的 理解 ， 
下 面 列 出 一 些 问题 ， 以 供 参 考 : 

参考 问题 : 

1. 双 机 热 备 情况 下 ，NAT 为 什么 要 关联 vrrp i d， 什 么 情况 下 需要 关联 。 

2. Nat server 域 间 规则 设置 ， 目 标 地 址 为 什么 是 inside 地 址 ? 

3. 备 双 机 热 备 为 什么 加 入 一 个 down 的 口 后 ， 主 防火 墙 反 而 切换 成 备 状态 ? 
讲师 总 结 

在 本 实验 的 最 后 ， 讲 师 还 应 该 对 整个 实验 的 故障 排除 思路 ， 故 障 点 分 析 和 解决 
方案 做 一 个 最 终 的 总 结 ， 以 加 深 学 员 对 课程 的 理解 ， 并 使 之 更 系统 化 。 
实验 中 的 时 间 点 控制 

本 章节 实验 时 间 建 议 : 

2 小 时 : 讲师 准备 好 实验 环境 ， 设 置 好 故障 点 。 

10 分 钟 : 讲师 介绍 实验 的 网 络 状况 和 有 具体 要 求 ,Ar 向 学 员 描 述 故 障 现象 以 及 实验 
要 求 。 分 组 并 选举 组 长 ， 明 确 各 组 员工 的 分 到、 

2 小 时 : 各 组 长 组 织 组 员 验 证 故障 现象 , 熟悉 网 络 状 况 和 具体 配置 .对 故障 现象 ， 
故障 定位 和 如 何 解决 问题 进行 组 内 讨 座 # 最 终 排 除 故障 并 完成 实验 报告 。 

30 分 钟 : 各 小 组 推举 代表 对 故障 排除 结果 及 过 程 进行 分 享 发 表 ， 讲 师 进 行 总 结 
和 点 评 。 














8.2 VPN 特 性 故障 排除 


实验 目的 
掌握 防火 墙 IPSEC VPN. L2TP VPN. GRE VPN. SSL VPN 常见 故障 排除 。 
组 网 设备 


USG2200 防火 增 2 台 ， 交换 机 1 A HW internet); PCI & (PHZH), 


实验 拓扑 图 
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) 
AH l l l IP 





PC 
192.168.2.2 


EPWA ARATAI ES» A Hb A 和 B 防火 场 组 成 GRE OVER IPSEC VPN; 
出 差 用 户 使 用 L2TP OVER IPSEC 或 者 SSL VPN 接 入 USGA, EGRE. 4 Sc UL 2 
用 户 能 够 互通 。 

改 障 排 除 流程 
Setp 1 故障 现象 描述 
GRE OVER IPSEC VPN 无 法 建立 ; 
L2TP OVER IPSEC 无 法 建立 ; 
SSL VPN 用 户 接 入 后 ， 无 法 访问 总 部 192.168.1.2; 
总 部 、 分 支 及 出 差 用 户 无 法 互 访 ， 
Setp 2 ”故障 相关 信息 收集 及 分 析 











根据 基本 故障 现象 的 描述 ,利用 各 种 方法 进一步 收集 相关 信息 ， 定 位 故障 。 
1、 故 障 点 : 





2、 信 息 收 集 方法 及 命令 : 





3、 信 息 中 的 关键 证 据 : 
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Setp3 ”故障 排除 流程 
请 根据 已 知 的 故障 现象 和 经 验 进 行 原因 分 析 , 并 列举 每 一 故障 现象 的 可 能 原因 
1、 故 障 现 象 : 








2、 原 因 列 表 : 


3、 排除 过 程 : 


讲师 实验 指导 建议 
Setp1 分 组 建议 
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Setp 2 


Setp3 


Setp 4 


Setp 5 


Setp6 


由 于 本 实验 共 需 2 台 USG， 建 议 3 人 一 组 。 
组 长 推举 以 及 组 员 分 工 


在 分 组 之 后 ， 需 要 推举 出 一 个 组 长 来 领导 各 组 完成 实验 。 组 长 在 本 组 的 实 
验 过 程 中 主要 起 一 个 替 头 的 作用 ， 并 组 织 组 内 的 讨论 。 组 长 的 推举 可 以 采取 学 
员 毛 送 目 存 的 方式 ， 如 果 学 员 反 应 不 积极 ， 也 可 以 有 意识 的 指定 学 员 中 技术 水 
平 较 好 的 来 担任 组 长 ， 以 保证 实验 的 顺利 进行 。 在 推举 出 组 长 之 后 ， 还 可 以 引 
导 组 长 对 目 己 的 组 员 也 进行 相应 的 分 工 。 比 如 说 可 以 让 特定 的 组 员 负 责 查 看 配 
置 与 display 信息 ; 某 些 组 员 负 责 实际 操 作 ， 修 改 配置 ; 某 些 组 员 负 责 记 录 故 障 
点 和 每 一 步 操作 ， 完 成 实验 报告 。 


分 组 讨论 


在 实验 的 开始 阶段 ， 讲 师 应 该 要 求 各 组 的 组 长 带领 各 组 的 组 员 先 弄 清 网 络 
的 状况 与 要 求 ， 并 把 各 设备 上 的 配置 都 先 读 一 遇 ， 这 样 才 不 会 在 后 面 的 实验 中 
大 家 都 弄 得 一 头 筋 水 。 接 下 来 可 以 让 组 长 组 织 对 故障 现象 ， 故 障 定位 各 如何 解 
决 问题 进行 组 内 的 讨论 。 同时 讲师 也 应 该 时 刻 关 注 各 组 的 讨论 情况 和 实验 进展 ， 
并 在 必要 的 时 候 参与 进来 ， 把 大 家 引导 到 正确 的 思路 上 来 。 因 此 ， 在 分 组 讨论 
排除 故障 阶段 ， 根 据 具 体 情 况 ， 可 能 会 需要 一 到 两 名 讲师 指导 实验 以 保证 实验 
效果 。 
各 组 总 结 

在 实验 完成 之 后 ， 可 以 请 各 组 的 组 长 分 别 对 本 组 的 实验 情况 作 一 个 经 验 总 
结 ， 包 括 故 障 的 定位 过 程 以 及 如 何 排 除 故 隐 。 讲 师 在 这 个 时 候 可 以 或 励 各 组 的 
组 员 积 极 的 对 组 长 的 发 言 进 行 补充 ， 讲 师 自 己 也 可 以 针对 学 员 的 总 络 进 行 一 些 
点 评 和 补充 。 
提问 

在 各 组 完成 总 结 之 后 ， 讲 师 可 以 有 针对 性 的 提 一 些 问 题 ， 以 加 深 学 员 的 理 
解 ， 下 面 列 出 半 些 问题 ， 以 供 参考 : 
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l. GRE OVER IPSEC fll L2TP OVER IPSEC 的 Security ACL 要 如 何 配置 ， 
为 什么 要 这 么 配置 ? 

2. 为 什么 要 添加 通过 tunnel 口 的 路 由 ， 缺 省 路 由 为 什么 不 行 ? 












































讲师 总 结 

在 本 实验 的 最 后 ， 讲 师 还 应 该 对 整个 实验 的 故障 排除 患 路， 故障 点 分 析 和 
解决 方 采 做 一 个 最 终 的 上 总结， 以 加 深 学 员 对 课程 的 理解 ， 并 使 之 更 系统 化 。 
实验 中 的 时 间 扣 控制 
本 半 市 实验 时 间 建 议 : 
2 小 时 : 讲师 准备 好 实验 环境 ， 设 置 好 故障 点 。 


10 分 钟 : 讲师 介绍 实验 的 网 络 状 况 和 具体 要 求 ， 回 学 员 描 述 故 障 现象 以 及 实验 
有 要求。 分 组 并 选举 组 长 ， 明 确 各 组 员工 的 分 工 。 
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e 2 小 时 : 各 组 长 组 织 组 员 验 证 故障 现象 , 熟悉 网 络 状况 和 具体 配置 .对 故障 现象 ， 
故障 定位 和 如 何 解 决 问题 进行 组 内 讨论 ， 最 终 排除 故障 并 完成 实验 报告 。 

e 30 分钟 : 各 小 组 选举 代表 对 故障 排除 结 末 及 过 程 进行 分 圣 肥 表 ， 讲 师 进 行 总 结 
TI EVE. 
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通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (hf1W;/Aeq9rning.huawei.com/cn) 享有 如 下 特权 : 
e 1、 华为 E-learning 课程 学 习 
a A8: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
0 方式: ŽUPA, ARBA “ERKE” MERKS “emai” 和 到 Learning €hvawer com A 
JFK RS 
. 2、 华为 培训 教材 下 载 
o AR: 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 小 盖 企 业 网 络 、 存 储 、 安 全 等 诸多 领域 
0 方式: EGRÍÉZUHEZETSDIBIA, MEA “ERRIMAREN ， 在 具体 课程 页 面 即 可 下 载 教 材 。 
° 3、 华为 在 线 公 开课 (LVC) 优 先 参与 
o AR: 企业 网 络 、UC&C、 安 人 全、 存储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 开 班 人 数 有 限 
a 方式: 开 班 计 划 及 参与 方式 请 详 见 AKC 汞 和 区 
° 4、 学习 工 具 eNSP 
o  eNSP (Enterprise Network Simulation Platform), 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真实 设备 实景 ; 同时 也 文 持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
。 另外, 华为 建立 了 知识 分 孚 平台 华为 从 证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 对 考试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.com/ecommunity/bbs/list 2247.html ) 
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